Hi!
Van egy olyan igény, hogy pl. jelszóval védett letöltési lehetőség kellene.
Tehát a regisztrált userek közül is csak az tudjon bizonyos dokumentumokat letölteni, ha tudja az adott jelszót.
Van ilyen modul v. vmilyen megoldás erre?
G.
Drupal verzió:
Fórum:
CCK file field
hozz létre akár egy saját tartalom típust, adj hozzá egy filefield típusú CCK mezőt, és a jogosultságoknál be lehet állítani, h azt a mezőt melyik csoport tagjai nézhetik meg...
mini
Konkrétan
Ehhez konkrétan a Field Permission (alap CCK) modul kell.
Nagy Gusztáv
téves
_field_ permission.. a _mezőt_ fogja védeni, nem a filet. ha tudom a konkrét file urlt, direktbe elérem a böngészővel vagy akár wgettel is.
-
clear: both;
Pedig ez működik. A közvetlen
Pedig ez működik. A közvetlen file elérést ki lehet "lőni" ha a fájlrendszert privátra kapcsolom. Nekem legalábbis egy hasonló probléma/igény így megoldódott.
lehet, hogy van benne
lehet, hogy van benne valami:
admin/settings/file-system:
G.
ha privát filerendszert használsz az úgy rendben van
de önnmagában a field permissions csak a mezők megjelenítését szabályozza, a file hozzáféréshez semmi köze nincs.
-
clear: both;
acl
Találtam egy ilyet: acl
http://drupal.org/project/acl
Ez lehet hogy jó, nem is kell jelszó. Az admin vagy ad jogot vagy nem.
Más tartalomra is használható.
Használja ezt a modult valaki? Tapasztalat?
G.
elolvastad amugy mire valo ez a modul?
ez egy content access kiegeszito, nodeok hozzafereset lehet vele szabalyozni felhasznalonkent. tehat azt tudom vele elerni, hogy a node/42 -t megnezheti marvin es trillian, senki mas. tokmindegy mi a rolejuk. es ilyesmik.
semmi koze a file hozzafereshez.
ha privat filerendszered van az mas tortenet persze, de az acl onmagaban a file hozzaferesekkel semmit nem csinal.
tulajdonkeppen ennek a temanak mar megvan a megoldasa:
privat filerendszert kell hasznalni.
slusz.
hogy az egyes nodeokhoz vagy mezokhoz valo hozzaferest hogyan szabalyozod az kulon tortenet.
-
clear: both;
Lehet egy kérdéssel több?
Privát file rendszer értve, gyökéren kívül tenni a files mappát, stb. és utólag nincs hatása. Ez is oké.
De mi van a tmp mappával?
Ha a privát használat során valaki, aki jogosult elérni egy file-t megnézi az egyik pl. képet, akkor bekerül a gyorstárba annak a lekérése, nem? Ha igen, akkor onnan kinyerhető egy illetéktelen számára is egy file, nem?
Egy gyors kérdés: kicsi a teszt telepítésem, ezért nem tudom lemérni, de egy nagyobb honlap esetén a privát mód lassítja a rendszert?
Bocs, még egy: szóba került a wget, ami http, https és ftp szerverekről tud egész könyvtárszerkezeteket letölteni (a file-okkal együtt).
Attól, hogy a gyökéren kívül tesszük a dolgokat, a wget miért ne találná meg?
Jó, oké, a domain az a gyökérre mutat és onnantól csak "feljebb" tölt le, tehát ha ismeri valahonnan azt a mappát, amibe rejtjük a dolgokat, akkor meg már úgyis mindegy...
És ha cPanelben beállítunk egy jelszót ahhoz a mappához? Vagy azt nem tudja kezelni a drupal, nem lehet valahol megadni neki a jelszót, belementeni?
ácsi
Ácsi, te nagyon kevered a dolgokat.
Ami a webroot-on kívül van, azt semmi sem látja, mert a webszerver nem adja ki. Jöhet wget, hiperszuper böngésző, teljes honlapszerkezetet letöltő program, nem érik el. Ennyi.
Pontosan ez okból a /tmp-t sem érik el, ha csak nem állítottad be webrootnak a teljes fájlrendszert mindennek együtt.
A "rendszert" nem lassítja, a linkre kattintás után egy pillanattal később indul el a file letöltése, mert a letöltendő állományt kezelését nem csak a webszerver végzi, hanem át kell zavarni a PHP értelmezőn is.
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
Majdnem mindent
Kösz nektek, majdnem minden világos, de nem értem, hogy a /tmp-re miért írod, hogy pontosan ez okból azt sem érik el, hiszen a /tmp a sites mappában van alapból, ami a file rendszeren belül van.
Vagy azt mondod, hogy privát esetén azt is a gyökéren kívülre kell tenni?
Azt hiszem arra gondolok, amire ti: gyökéren kívül azt jelenti, hogy a public_html mappán kívüli rész... Amin én nem tudok állítani, mert az úgy kapom a szolgáltatótól, ahogy. Remélem jól állítják be.
Ha jól értem tehát, privát esetén a gyorstár tartalma nem kerül be egy közös adatbázisba, fileba, hanem csak az adott felhasználó gépére?
Ok, van ami nem drupal téma, rákesekek a neten a szerverbiztonság kérdésére, mert érdekel a téma, remélem találok valami jót, magyarul.
Kösz mindent!
„De mi van a tmp
„De mi van a tmp mappával?”
Az is a privát filerendszerben van, tehát ugyan úgy elérhetetlen. Legalább is a szerveren.
„Ha a privát használat során valaki, aki jogosult elérni egy file-t megnézi az egyik pl. képet, akkor bekerül a gyorstárba annak a lekérése, nem? Ha igen, akkor onnan kinyerhető egy illetéktelen számára is egy file, nem?”
Az illető gépéről igen. Nem tudod kontrollálni, hogy mit csináljon a letöltött fájlokkal. Sőt, ha nem https kapcsolaton mész megfelelően hosszú kulccsal akkor meg feleslegesen beszélgetünk. Akkor kár görcsölni, minden lépés csak a vicc kategóriába tartozik, mert akkor szednek el tőled adatot amikor akarnak. Van már rá firefox addon, szóval a „de csak az egyszerű felhasználók ellen kell védelem” szöveg is értelmetlen most már szerencsére az ilyen beszélgetésekben.
„Egy gyors kérdés: kicsi a teszt telepítésem, ezért nem tudom lemérni, de egy nagyobb honlap esetén a privát mód lassítja a rendszert?”
Mivel át kell mennie minden fájlnak a PHP értelmezőn, ráadásul nem tudod azokat egy kisebb footprinttel rendelkező szerveren áthajtani ezért egyértelműen igen. A biztonság és a sebesség ugye... gondolj csak a motorra és a teherautóra.
„Bocs, még egy: szóba került a wget, ami http, https és ftp szerverekről tud egész könyvtárszerkezeteket letölteni (a file-okkal együtt).”
A wget csak azt tudja letölteni amit lát. Ha ftpn keresztül elérhető a szervered akkor megint nincs miért beszélgetnünk a biztonságról és fájlvédelemről. Hiába csinálsz ötven méter vastag falat, ha a kaput kitárva hagyod. Attól nem javul a biztonság, hogy még tíz métert vastagítod a falakat.
„Attól, hogy a gyökéren kívül tesszük a dolgokat, a wget miért ne találná meg?”
Mert nem látja azért. Ha tudsz rá adni url-t akkor vagy nem a gyökéren kívül van, vagy a webszervered van rosszul beállítva, vagy van valahol egy lyuk a rendszereden.
„Jó, oké, a domain az a gyökérre mutat és onnantól csak "feljebb" tölt le, tehát ha ismeri valahonnan azt a mappát, amibe rejtjük a dolgokat, akkor meg már úgyis mindegy...”
Picit fordított a gondolkodás itt. Mi a gyökér szónál a gyökér tövét értjük és a fájlrendszer az egész gyökérzet, mely a gyökér töve alatt helyezkedik el. Tehát van a fájlrendszer gyökér(tő) és a fájlrendszer gyökérzetében helyezkedik el valahol a webszerver gyökér(tő). A webszerver úgy tekint a webszerver gyökérre, mintha az lenne a mindenség kiindulópontja. Ha jól van beállítva a rendszered a webszerver nem lát ki innen. A PHP értelmező már igen. Van amikor úgy oldják meg, hogy a PHP értelmező se lásson ám ki akármeddig azt is bezárják egy kis játszótérre. De ez ugye messze vezet és nem Drupal kérdés már, hanem szerverüzemeltetés ami inkább a hup témaköre.
„És ha cPanelben beállítunk egy jelszót ahhoz a mappához? Vagy azt nem tudja kezelni a drupal, nem lehet valahol megadni neki a jelszót, belementeni?”
Mivel Te se és én se tudom mit is állít ilyenkor a cPanel nehéz erre választ adni. De gyanítom php-val simán ki lehet cselezni az ilyen jelszót. :)
pp
Palócz István
https://palocz.hu | https://tanarurkerem.hu
FTP-n keresztül
Ugye itt nem azt mondod, hogy ha pl. Total Commanderrel töltögetem a dolgaimat, azaz van ftp kapcsolatom, akkor van baj, hanem akkor, ha egy jelszó nélküli ftp hozzáférés van, amit külső használók böngészőn keresztül elérhetnek, azaz listázni tudják a mappa tartalmát.
Tudtok példákat, kik, milyen honlapnál használnak privát módot, Élő példát, hogy érezzem, hol van értelme egyáltalán?
ööö a total commander az még
ööö a total commander az még súlyosbít is a dolgon, hisz arra ismert féreg is van.
De azt mondom, hogy ha nem titkosított kapcsolatot használsz, ilyen az ftp és a http akkor nem érdemes rugóznunk a biztonságon. Felesleges.
pp
Palócz István
https://palocz.hu | https://tanarurkerem.hu
Jó
Ok, végülis a NASA honlapját is feltörték, tehát totál mindegy, bár az más tészta.
Nekem azt kell védenem, hogy a honlapon lévő személyes adatok, amiket megadnak, illetve cégekkel való privát kommunikáció, anyagok, amik csak egy-egy cégre tartoznak ne kerülhessen mások kezébe, akár egy rossz indulatú, egy féltékeny, egy irigy konkurencia kezébe, vagy csak egy unatkozó hacker lány, vagy fiú kezébe.
Tehát amennyire lehetséges védeni a felhasználók érdekeit.
Egyébként ha nem FTP, akkor hogyan töltitek fel biztonságosan a dolgokat, ha azt akarjátok?
FTPS gondolom nincs. Vagy ha cPanelből töltöm fel, vagy FileZilla-val akkor jobb? Ha nem SSL a kapcsolat, akkor megint mindegy, mi?
Szerintem az internet világa ma azért szív ennyit a biztonsággal, mert annak idején nem ilyen felhasználásra tervezték, csak ez lett belőle. Lásd e-mail, annál még egy postai levél is biztonságosabb, mert ott jó esetben legalább látom, ha felbontották...
A digitális aláírást már rég ingyenesen kellene mindenkinek adni, mint az Ügyfélkaput.
Valaki csinált már privát módú honlapot? Ha igen, miért?