nicht angemeldet
Verzeichnis auflisten
Hallo liebes Forum,
nachdem ich in einem Verzeichnis auf meinem Webspace diverse Dateien (bilder, schreibdateien) habe (jedoch keine html, php, js, css dateien) nun eine Frage die sich mir stellt.
Kann ein Robot oder ein normaler Internet-surfer diese Daten sich auflisten lassen bzw. den Inhalt des Verzeichnisses herausbekommen?
Ich möchte, dass man nur, wenn man den exakten Dateinamen kennt, die entsprechende Datei öffnen kann.
Ist dies automatisch so oder muss ich eine .htaccess mit bestimmten inhalt da einbauen?
Danke für die Helfenden
-
Grüße,
ist verzeichniss öffentlich?
MFG
bleicher--
__________________________-
Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
http://www.sexgott-or-not.com/?test=428054-
Hallo,
ja es ist grundsätzlich zugänglich für alle. Also erreichbar über z.B.
www.example.de/verzeichniswelcheszugaenglichist/
-
Salut!
ist verzeichniss öffentlich?
wer das weis?
au relire
Sven aus M.
-
-
Hello,
Ich möchte, dass man nur, wenn man den exakten Dateinamen kennt, die entsprechende Datei öffnen kann.
Ist dies automatisch so oder muss ich eine .htaccess mit bestimmten inhalt da einbauen?
Das hängt bestimmt auch vom verwendeten Webserver ab.
Wenn Du einen Apache benutzt, dann kannst Du ziemlich sicher sein, dass das Verhalten "Auflisten aller Files im Directory" durch die Konfigurationoptions -indexes
http://httpd.apache.org/docs/2.2/mod/core.html#options
ausgeschaltet wird. Alernativ kann man es (meistens) durch das Einfügen einer Datei mit einem festgelegten Namen (es kann mehrere geben) "ausschalten". Auch dies ist konfigurierbar.
# DirectoryIndex: sets the file that Apache will serve if a directory
# is requested.
#
<IfModule dir_module>
DirectoryIndex index.php index.php4 index.php3 index.cgi index.pl index.html index.htm index.shtml index.phtml
</IfModule>#
http://httpd.apache.org/docs/2.2/mod/mod_dir.html#directoryindex
Man kann natürlich Wörterbuchattacken auf ein vorhandenes Verzeichnis fahren, dann kann man die Dateinamen (Ressourcen-Namen) erraten.
Ein harzliches Glückauf
Tom vom Berg
-
Grüße,
Man kann natürlich Wörterbuchattacken auf ein vorhandenes Verzeichnis fahren, dann kann man die Dateinamen (Ressourcen-Namen) erraten.
was passiert wenn man die anfrage abfängt, und falls datei nicht exestiert eine frische mit entsprechendem namen liefert? ein virus, trojaner oder einfach nur eine 2GB schwere mülldatei?
MFG
bleicher--
__________________________-
Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
http://www.sexgott-or-not.com/?test=428054-
Hello,
Man kann natürlich Wörterbuchattacken auf ein vorhandenes Verzeichnis fahren, dann kann man die Dateinamen (Ressourcen-Namen) erraten.
was passiert wenn man die anfrage abfängt, und falls datei nicht exestiert eine frische mit entsprechendem namen liefert? ein virus, trojaner oder einfach nur eine 2GB schwere mülldatei?
Gute Idee (?)
Das gibt dann ja einen HTTP-Status 200
Der ungebetene Besucher "denkt" dann "au fein, wieder ein Treffer" und trägt die URL in sein (öffentliches) Linkverzeichnis ein.Daraufhin wird die Ressource täglich sieben Mal durch mindestens vier große Suchmaschinen gelesen. Der traffic geht voll auf Deinen Zähler und es wieder ein Schritt geschafft auf dem Weg, das Internet durch Überlastung endlich platt zu machen.
Deine Rechnung möchte ich aber lieber nicht lesen. Ich habe meine eigenen Magengeschwüre noch nicht ganz überstanden :-(
Ein harzliches Glückauf
Tom vom Berg
-
Grüße,
Daraufhin wird die Ressource täglich sieben Mal durch mindestens vier große Suchmaschinen gelesen. Der traffic geht voll auf Deinen Zähler und es wieder ein Schritt geschafft auf dem Weg, das Internet durch Überlastung endlich platt zu machen.
ist aber ine "weiterleitung" (wie man es bei downloads kennt) möglich? sodass eine anfrage von "www.bla.com/dings.jpg" auf eine datei bei "www.weissweissich.net/werbung.avi" umgleitet wird^^?
MFG
bleicher--
__________________________-
Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
http://www.sexgott-or-not.com/?test=428054-
Hello,
ist aber ine "weiterleitung" (wie man es bei downloads kennt) möglich? sodass eine anfrage von "www.bla.com/dings.jpg" auf eine datei bei "www.weissweissich.net/werbung.avi" umgleitet wird^^?
Klar ist das möglich.
z.B. auf http://www.bka.de/ wäre doch sicherlich passend?Ein harzliches Glückauf
Tom vom Berg
-
-
-
-
Hallo,
also das mit htaccess bzw apache server kenn ich mich net so gut aus. es ist aber ein apache-server.
options -indexes -> heißt wenn ich richtig verstehe wenn ich eine index.html einfüge lässt sich der index net auflisten?
-
Hello,
options -indexes -> heißt wenn ich richtig verstehe wenn ich eine index.html einfüge lässt sich der index net auflisten?
Nein, das heißt, dass der Apache von Hus aus kein Listung anbietet, egal, ob eine Datei mit dem passenden Standard-Namen im Verzwichnis liegt oder nicht.
"DirectoryIndex" bedeutet, dass diese Standardnamen festgelegt werden. Die Liste wird, wenn man nur ein Verzeichnis anfordert, ohne einen geneuen Ressourcennamen mitzuliefern, von vorne abgearbeitet. Der erste Treffer ("Dateiname aus der Liste befindet sich auf der Platte") führt dann zur Auslieferung der entsprechenden Ressource und zur Beendigung des Requests.
Ein harzliches Glückauf
Tom vom Berg
-
Hello,
Hallo
"DirectoryIndex" bedeutet, dass diese Standardnamen festgelegt werden. Die Liste wird, wenn man nur ein Verzeichnis anfordert, ohne einen geneuen Ressourcennamen mitzuliefern, von vorne abgearbeitet. Der erste Treffer ("Dateiname aus der Liste befindet sich auf der Platte") führt dann zur Auslieferung der entsprechenden Ressource und zur Beendigung des Requests.
d.h. dann wenn darin nichts gefunden wird kann das verzeichnis aufgelistet werden oder nicht?
ich versteh dich leider grad nicht ganz
-
Hello,
"DirectoryIndex" bedeutet, dass diese Standardnamen festgelegt werden. Die Liste wird, wenn man nur ein Verzeichnis anfordert, ohne einen geneuen Ressourcennamen mitzuliefern, von vorne abgearbeitet. Der erste Treffer ("Dateiname aus der Liste befindet sich auf der Platte") führt dann zur Auslieferung der entsprechenden Ressource und zur Beendigung des Requests.
d.h. dann wenn darin nichts gefunden wird kann das verzeichnis aufgelistet werden oder nicht?
Genau!
Es sei denn, dass "options -indexes" gesetzt ist. Dann würde der Apache sowieso nicht listen.
BTW:
Ich habe bisher noch keine Möglichkeit gefunden, diese ganzen Apache-Einstellungen mittels PHP-Script auch mal abfragen zu können, allerdings habe ich noch nicht wirklich danach gesucht...Ein harzliches Glückauf
Tom vom Berg
-
ah...danke...
dann muss ich ja nichts tun...kann meine dateien da rein laden (dateiname ist 40 zeichen lang und teilweise mehr) und somit auch über reines versuichen nicht ermittelbar...da wilkürlich zusammengewürfelte zahlen und buchstaben
schönen sonntag noch
-
Hallo,
Ich habe bisher noch keine Möglichkeit gefunden, diese ganzen Apache-Einstellungen mittels PHP-Script auch mal abfragen zu können,
Die gibt es auch nicht. Die einzige Schnittstelle, die PHP-Scripte zum Apache-Server haben sind die Apache-Funktionen, die aber nur verfügbar sind, wenn PHP als Modul geladen ist. Und selbst diese Funktionen bieten keine Möglichkeit, irgendwie direkt Apache-Konfigurationsoptionen abzufragen (bestimmte Funktionen wie apache_getenv() lassen immerhin Rückschlüsse auf kleine Teilaspekte zu).
Viele Grüße,
Christian-
Hello Christian,
Die gibt es auch nicht. Die einzige Schnittstelle, die PHP-Scripte zum Apache-Server haben sind die Apache-Funktionen, die aber nur verfügbar sind, wenn PHP als Modul geladen ist. Und selbst diese Funktionen bieten keine Möglichkeit, irgendwie direkt Apache-Konfigurationsoptionen abzufragen (bestimmte Funktionen wie apache_getenv() lassen immerhin Rückschlüsse auf kleine Teilaspekte zu).
Gibt es denn sonst schon ein Tool, um die teilweise ja heute sehr verstreut liegenden Einstellungen zusammensammeln zu können?
Durch die ganzen Includes wird das ja schon fast eine Aufgabe für wget (im übertragenen Sinne).Ich habe mir neulich ein kleines Tool für die Abfrage der User, Groups, Supplemental Groups usw. erstellt. Das ist schon spannend genug gewesen :-)
Ein harzliches Glückauf
Tom vom Berg
-
-
-
-
-
-
-
Hi Gast,
Ich möchte, dass man nur, wenn man den exakten Dateinamen kennt, die entsprechende Datei öffnen kann.
das solltest du alleine durch Dateirechte erreichen können. Unter Unix-Derivaten musst du dafür sorgen, dass der Benutzer, unter dem der Webserver läuft, das Verzeichnis zwar betreten (chmod +x), nicht aber auslesen (chmod +r) darf.
Gruß,
Andreas.