Login

09.08.2016, 23:17

Hallo Zusammen!

Mich hat gerade wieder mal meine Paranoia geschnappt... Wink

Dateien die im Order "uploads" liegen, können ja auch - wenn man den Datei-Link kennt, direkt aufgerufen werden, auch wenn man z.B. Gästen das herunterladen von Anhängen verbietet.

Spricht was dagegen wenn den Ordner "uploads" per .htaccess sperrt

PHP-Code:
Order Deny,Allow
Deny from all 

und den Schutz bei Ordner "avatars" wieder aufhebt?

PHP-Code:
Satisfy Any
Order Deny,Allow
Allow from all 

Oder ist das eher unnötig?

MrBrechreiz · 10.08.2016, 01:26

Kann mir nicht Vorstellen, dass dies einer ohne den genauen Dateinamen laden kann, denn Anhänge haben einen anderen Namen, als die im Beitrag. Wenn Du den Ordner uploads sperrst, wird keiner etwas Laden können.

10.08.2016, 07:16

Es geht

Und geladen werden die Bilder über die attachment.php damit die Gruppenrechte greifen daher wird die htaccess ja ignoriert.
Außer die Avatare, daher dort die Aufhebung.

StefanT · 10.08.2016, 09:08

Den Dateinamen zu erraten sollte allerdings (fast) unmöglich sein. Wink

10.08.2016, 09:16

Ja das denk ich ja auch, aber können Suchprogrammen nicht irgendwie doch den Ordner durchsuchen? Oder verhindert das dann diese Regel?

Code:
Options -MultiViews +FollowSymlinks -Indexes

Login
Benutzername:
Passwort:	Passwort vergessen?
	Merken

Möglicherweise verwandte Themen…
Thema		Verfasser	Antworten	Ansichten	Letzter Beitrag
	Plugin ohne Zugriff auf ACP aktivieren	face2003	6	1.711	21.10.2023, 01:18 Letzter Beitrag: [ExiTuS]
	Zugriff auf Bilder, welche als Attachement eines anderen Beitrags hinzugefügt wurden?	Brubaker	1	1.598	25.10.2016, 15:36 Letzter Beitrag: MrBrechreiz
	Gast Zugriff auf geschl. Forum / Benutzergruppen	[ExiTuS]	3	2.326	08.02.2016, 22:35 Letzter Beitrag: [ExiTuS]