Neuigkeiten:

still alive...

Hauptmenü

PFile fertig!

Begonnen von , 24. November 2003, 10:14:32

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten 1 2
Benutzer-Aktionen

mahe

#15
25. November 2003, 22:42:33
der Ansatz ist schonmal nicht schlecht, nur muss man diesen Schutz noch etwas erweitern /uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />
Verzeichnis richtig dicht machen, streamen und Streamscript per Session absichern.[/quote]
nur Session alleine nicht.
Die Session sollte noch einen Zufallsstring enthalten der bei jedem Seitenrefresh neu generiert wird.
Diesen String übergebe ich auch per POST an die download.php
in der download.php vergleiche den String der per POST kommt mit dem den ich von der vorhergehenden Seite per POST erhalte.
Man kann dann noch einbauen dass bei jedem Aufruf der download.php (oder einer Seite) ein .htaccess-Verzeichnisschutz neu gesetzt wird, am besten mit zufälligem User und zufälligem Passwort.
Somit wird mal folgendes verhindert:
- Direktlink aufs File auch mittels user:passw@www... (wegen sich ändernden .htaccess-Schutz)
- Direktlink auf die download.php mittels ?id=1234
- Vorladen der Seite in einem unsichtbaren Frame bringt nichts, da der String ja auch per POST an die download.php geschickt werden muss, weil er dort ja verglichen wird mit dem aus der Session.

http://blog.mahe.at\" rel=\"external nofollow\">http://blog.mahe.at/wp-content/uploads/2007/06/88x31_1.jpg\" alt=\"88x31_1.jpg\">


Ja, diese Signatur dient zur Werbung!


Und dass ich meine Posts wiederfinde ...

arbitrio

#16
26. November 2003, 16:00:51
Yo - so kannman\\\'s machen...

Original von mahe Man kann dann noch einbauen dass bei jedem Aufruf der download.php (oder einer Seite) ein .htaccess-Verzeichnisschutz neu gesetzt wird, am besten mit zufälligem User und zufälligem Passwort.
[/quote]
Is gar nicht nötig! Man muss das Passwort einfach nur mit der falschen Methode crypten - dann funzt gar nix mehr... /uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />
Schließlich braucht der Admin  nur Zugriff per FTP - nicht per HTTP(S).

Unser Glück war immer da


Immer da, wo wir nicht waren


Holen wir\'s uns zurück


Und mehr davon, Stück für Stück




Geht ein Traum in Flammen auf


Such dir einen neuen aus


Der Rest verschwindet von allein


Dies ist ein Aufruf zum glücklich sein

mahe

#17
26. November 2003, 18:10:30
Zugriff per PHP genügt eigentlich /uploads/emoticons/icon_e_surprised.gif.a8707b3f35a569cb4cfe563fc72ef78d.gif\" alt=\":-o\" />

http://blog.mahe.at\" rel=\"external nofollow\">http://blog.mahe.at/wp-content/uploads/2007/06/88x31_1.jpg\" alt=\"88x31_1.jpg\">


Ja, diese Signatur dient zur Werbung!


Und dass ich meine Posts wiederfinde ...

arbitrio

#18
27. November 2003, 16:20:01
ei id suum
Jedem das Seine... /uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />

Unser Glück war immer da


Immer da, wo wir nicht waren


Holen wir\'s uns zurück


Und mehr davon, Stück für Stück




Geht ein Traum in Flammen auf


Such dir einen neuen aus


Der Rest verschwindet von allein


Dies ist ein Aufruf zum glücklich sein

neigboor

#19
12. Dezember 2004, 19:29:01
Sieht doch cool as /uploads/emoticons/icon_e_surprised.gif.a8707b3f35a569cb4cfe563fc72ef78d.gif\" alt=\":-o\" />/uploads/emoticons/icon_e_surprised.gif.a8707b3f35a569cb4cfe563fc72ef78d.gif\" alt=\":-o\" />

Will alles wissen über die Scripte wissen

Drucken
Nach oben Seiten 1 2
Benutzer-Aktionen
all your base are belong to us / Discord