Sicherheit
Sicherheit
Seit gestern teste ich admidio und bin richtig begeistert. Heute Morgen stieß ich allerdings auf eine schlimme Sicherheitslücke: Abgelegte PDF-Dokumente, die nur angemeldeten Mitgliedern angeboten werden sollen, können von jedermann heruntergeladen werden. Man braucht bloß den Link zum Dokument zu kennen. Kann man diese Lücke schließen?
Re: Sicherheit
Hallo,
das könnte man über ein paar Umwege sicher machen... man müsste den Aufwand hierfür mal abschätzen.
grundsätzlich ginge es, wenn man alle ordner mit Files über eine .htaccess schützt:
dann ein PHP script das den login Prüft, und an das man die zu liefernde Datei übergibt.
das müsste dann mal in ein Konzept zusammengeschrieben werden 
wenn ich mal etwas Zeit habe, werde ich dafür ein Ticket aufmachen.
lg
Stefan
das könnte man über ein paar Umwege sicher machen... man müsste den Aufwand hierfür mal abschätzen.
grundsätzlich ginge es, wenn man alle ordner mit Files über eine .htaccess schützt:
Code: Alles auswählen
Order deny,allow
Deny from allCode: Alles auswählen
<?php
if(!login)) {
die("Sie haben keine Berechtigung");
}
header('Content-type: application/xml');
header('Content-Disposition: attachment; filename="xxx.xml"');
$filename = "dateiname";
readfile($filename);
?> wenn ich mal etwas Zeit habe, werde ich dafür ein Ticket aufmachen.
lg
Stefan
Re: Sicherheit
Es scheint auch so zu sein, dass jeder Besucher Emails schreiben, Dokumente dowloaden, ins Gästebuch schreiben, Termine einsehen kann usw. Oder finde ich einfach nicht den Zugang zum Rechtemanagement? Wie kann man nichtregistrierten Besuchern die Rechte nehmen?
Re: Sicherheit
Dann hast du was falsch eingestellt. Bei mir funktioniert der Download nur nach Login, also so wie es sein soll.
verwendet Admidio auf rgk.org 
