| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
musikdusche
reflektierender User
Anmeldungsdatum: 29.05.2006
Beiträge: 896
Wohnort: Düsseldorf
|
 (#1412419) Verfasst am: 03.01.2010, 19:24 Titel: "geheimes" Verzeichnis aufm Webserver? |
 |
|
Mal ne Frage an die Leute, die sich ein bissel mit Webservern und Homepages auskennen:
Szenario: Ich möchte eine Datei, sagen wir "Hollywoodfilm.avi", verschiedenen Kumpels zur Verfügung stellen. Email fällt flach (weil zu groß), Sharehoster wie Rapidshare möchte ich auch nicht verwenden. Ich besitze aber eine eigene Domain mit Webspace.
Idee: Ich richte dort ein Verzeichnis "geheimxyz" ein und packe die Datei dort hinein. Die Datei befindet sich also unter der URL "www.meinedomain.de/geheimxyz/Hollywoodfilm.avi".
Auf meiner Homepage soll man nun per JavaScript das "Passwort" geheimxyz eingeben können und es wird dann der Verzeichnisinhalt von geheimxyz ausgegeben, so dass ein Interessent nun die Datei dort downloaden kann. (Gibt man das falsche "Passwort" an landet man eben bei einem nicht existenten Verzeichnis und bekommt ein "404 not found")
Wie sicher ist das Verzeichnis vor unauthorisierten Interessenten geschützt? Gibt es irgendeine Möglichkeit, den Namen des Verzeichnisses "geheimxyz" ausfindig zu machen (Gesetzt den Fall, dass beim Aufruf von www meinedomain.de im Browser kein Verzeichnisinhalt angezeigt wird)?
_________________
Jeder Fehler erscheint unglaublich dumm, wenn Andere ihn begehen. (Lichtenberg)
|
|
| Nach oben |
|
 |
NiH
xenomorph
Anmeldungsdatum: 02.04.2009
Beiträge: 812
Wohnort: Duisburg
|
| (#1412426) Verfasst am: 03.01.2010, 19:43 Titel: |
|
|
Wie das mit dem Verzeichnis aussieht, kann ich dir leider nicht sagen. Aber ich würde die Datei noch packen (am besten RAR) und mit einem längeren Passwort versehen. Selbst wenn jemand dann an die Datei kommen sollte, wird er die in den nächsten Jahren (ohne gültiges Passwort) wohl kaum nutzbar machen können.
Außerdem spart man dabei noch Traffic und Zeit.
|
|
| Nach oben |
|
|
Poldi
Bin Daheim
Anmeldungsdatum: 16.07.2003
Beiträge: 4559
Wohnort: Bavarian Congo
|
| (#1412430) Verfasst am: 03.01.2010, 19:51 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| musikdusche hat folgendes geschrieben: | Mal ne Frage an die Leute, die sich ein bissel mit Webservern und Homepages auskennen:
Szenario: Ich möchte eine Datei, sagen wir "Hollywoodfilm.avi", verschiedenen Kumpels zur Verfügung stellen. Email fällt flach (weil zu groß), Sharehoster wie Rapidshare möchte ich auch nicht verwenden. Ich besitze aber eine eigene Domain mit Webspace.
Idee: Ich richte dort ein Verzeichnis "geheimxyz" ein und packe die Datei dort hinein. Die Datei befindet sich also unter der URL "www.meinedomain.de/geheimxyz/Hollywoodfilm.avi".
Auf meiner Homepage soll man nun per JavaScript das "Passwort" geheimxyz eingeben können und es wird dann der Verzeichnisinhalt von geheimxyz ausgegeben, so dass ein Interessent nun die Datei dort downloaden kann. (Gibt man das falsche "Passwort" an landet man eben bei einem nicht existenten Verzeichnis und bekommt ein "404 not found")
Wie sicher ist das Verzeichnis vor unauthorisierten Interessenten geschützt? Gibt es irgendeine Möglichkeit, den Namen des Verzeichnisses "geheimxyz" ausfindig zu machen (Gesetzt den Fall, dass beim Aufruf von www meinedomain.de im Browser kein Verzeichnisinhalt angezeigt wird)? |
Also, mit Javascript is da gleich mal Essig 
Das ganze geht über die .htaccess (ok, geht auch nur, wenn du einen LAMP hast und dein Provider .htaccess nicht gesperrt hat)
Wenn du nen anständigen Server hast, sperrst du das verzeichnis einfach für http-zugriffe und richtest für deine "Kumpels" einen eigenen FTP-Zugang nur für dieses Verzeichnis ein, und gut is
_________________
gG,
Poldi
Doch leider kanns gefählich sein, den Satan in dir zu verstehen.
Jeder Mensch ein Sünderschwein, Oh christliches Vergehen.
Die Trennung zwischen Gut und Bös die wirst du niemals finden
nur leider kanns gefährlich sein das den Pfaffen auf die Nasen zu binden.
|
|
| Nach oben |
|
|
Ragmaanir
Fieser Necessitator
Anmeldungsdatum: 12.06.2005
Beiträge: 833
Wohnort: Hamburg
|
| (#1412435) Verfasst am: 03.01.2010, 19:54 Titel: |
|
|
Bei der JavaScript Lösung müsstest du eine kryptografisch sichere Hashfunktion verwenden. Die Eingabe für die funktion ist dann die Passwort-Zeichenkette und die Ausgabe ist der Name der Datei. Ob es beim Webserver noch irgendwelche Tricks gibt wie "liste alle freigegebenen verzeichnisse auf" weiß ich nicht und kommt sicherlich auch auf den Webserver sowie seine Einstellungen an.
Ich würde allerdings einen FTP-Server empfehlen. Da kann man auch Gruppen/Benutzer erstellen und mit Passwort und Quota versehen.
Ansonsten gibt es meist noch die .htaccess Datei mit der man Verzeichnisse mit Name/Passwort schützen kann. Hab ich allerdings nie benutzt.
Edit: Zu langsam 
_________________
Dieser Post enthält die unumstößliche, objektive Wahrheit.
|
|
| Nach oben |
|
|
musikdusche
reflektierender User
Anmeldungsdatum: 29.05.2006
Beiträge: 896
Wohnort: Düsseldorf
|
| (#1412441) Verfasst am: 03.01.2010, 20:06 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
Danke erstmal für eure Reaktion.
| Poldi hat folgendes geschrieben: | | Also, mit Javascript is da gleich mal Essig |
Warum?
| Ragmaanir hat folgendes geschrieben: | | Bei der JavaScript Lösung müsstest du eine kryptografisch sichere Hashfunktion verwenden. |
Warum? Wo wäre der Angriffspunkt, wenn ich einfach die Identität als "Hashfunktion" nehmen würde?
Ich bin ein Fan von ultrasimplen Lösungen. Insbesondere, wenn man es mit DAUs zu tun hat, denen man Dateien zur Verfügung stellen möchte (und es geht dabei nicht nur um avis, wie im Eingangsposting angedeutet).
Die Idee aus dem Eingangsposting finde ich deswegen so verlockend, weil ich auch einfach die URL "www.meinedomain.de/geheimxyz/Hollywoodfilm.avi" weitergeben könnte - ohne Passwortkram. htaccess ist eine Lösung (wobei ich allerdings nochmal nachforschen muss, ob ich da rumpfuschen darf). Und die Einrichtung von FTP-Zugängen ist wieder mit Adminaufwand verbunden.
Eine Antwort auf die ursprüngliche Frage würde mich daher nach wie vor interessieren.
_________________
Jeder Fehler erscheint unglaublich dumm, wenn Andere ihn begehen. (Lichtenberg)
|
|
| Nach oben |
|
|
Rasmus
entartet und notorisch gottlos - Ich bin Papst
Anmeldungsdatum: 20.05.2004
Beiträge: 17559
|
| (#1412442) Verfasst am: 03.01.2010, 20:07 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| musikdusche hat folgendes geschrieben: | | Wie sicher ist das Verzeichnis vor unauthorisierten Interessenten geschützt? Gibt es irgendeine Möglichkeit, den Namen des Verzeichnisses "geheimxyz" ausfindig zu machen (Gesetzt den Fall, dass beim Aufruf von www meinedomain.de im Browser kein Verzeichnisinhalt angezeigt wird)? |
Das Verzeichnis ist überhaupt nicht sicher. Du hoffst nur einfach, dass es nicht gefunden wird. Lass das bleiben!
Dein Provider muss nur die Apache-Einstellungen updaten oder ändern, und eine normale 404-Meldung könnte das Verzeichnis verraten. Zum Beispiel.
Normalerweise ermöglichst es der Provider, Verzeichnisse gezielt mit Passworten zu schützen, ansonsten: Hör auf Poldi.
_________________
Brother Sword of Enlightenment of the Unitarian Jihad
If you ask the wrong questions you get answers like '42' or 'God'.
"Glaubst Du noch oder hüpfst Du schon?"
Sylvia Browne - Wahrsager oder Scharlatan?
|
|
| Nach oben |
|
|
Ragmaanir
Fieser Necessitator
Anmeldungsdatum: 12.06.2005
Beiträge: 833
Wohnort: Hamburg
|
| (#1412443) Verfasst am: 03.01.2010, 20:11 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| musikdusche hat folgendes geschrieben: | Danke erstmal für eure Reaktion.
| Ragmaanir hat folgendes geschrieben: | | Bei der JavaScript Lösung müsstest du eine kryptografisch sichere Hashfunktion verwenden. |
Warum? Wo wäre der Angriffspunkt, wenn ich einfach die Identität als "Hashfunktion" nehmen würde?
|
Das geht natürlich auch. Möglicherweise ist der Dateiname dann aber leichter zu erraten.
Das "kryptografisch sicher" kann man eventuell auch streichen, bin mir gerade nicht sicher.
_________________
Dieser Post enthält die unumstößliche, objektive Wahrheit.
|
|
| Nach oben |
|
|
musikdusche
reflektierender User
Anmeldungsdatum: 29.05.2006
Beiträge: 896
Wohnort: Düsseldorf
|
| (#1412452) Verfasst am: 03.01.2010, 20:19 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| Rasmus hat folgendes geschrieben: | | Dein Provider muss nur die Apache-Einstellungen updaten oder ändern, und eine normale 404-Meldung könnte das Verzeichnis verraten. Zum Beispiel. |
Das verstehe ich leider nicht. Erklär mal bitte.
Es ist mir natürlich völlig klar, dass meine Idee keine Business-Lösung ist. Darum geht es mir aber auch gar nicht. Ich möchte nur hier mal nen Clip und da ein mp3 an Kumpels verteilen, ohne dass irgendwelche anderen Leute (die den Link erstmal nicht kennen) direkt mitlesen.
Edit
| Rasmus hat folgendes geschrieben: | | Das Verzeichnis ist überhaupt nicht sicher. |
Da hast du natürlich Recht. Meine Frage müsste besser lauten: "Wie geheim ist der Verzeichnisname für Leute, die den Link nicht kennen?"
_________________
Jeder Fehler erscheint unglaublich dumm, wenn Andere ihn begehen. (Lichtenberg)
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1412455) Verfasst am: 03.01.2010, 20:23 Titel: |
|
|
Ich schließe mich Poldi und Rasmus an.
Wenn du ein Freund einfacher Lösungen bist, dann ist die Freigabe per .htaccess definitiv die beste Möglichkeit.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
Zoff
registrierter User
Anmeldungsdatum: 24.08.2006
Beiträge: 21668
|
| (#1412501) Verfasst am: 03.01.2010, 21:56 Titel: |
|
|
| NOCQUAE hat folgendes geschrieben: | Ich schließe mich Poldi und Rasmus an.
Wenn du ein Freund einfacher Lösungen bist, dann ist die Freigabe per .htaccess definitiv die beste Möglichkeit. |
Sehe (und mache) ich auch so.
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1413176) Verfasst am: 05.01.2010, 04:53 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| musikdusche hat folgendes geschrieben: | | Poldi hat folgendes geschrieben: | | Also, mit Javascript is da gleich mal Essig |
Warum? |
Javascript wird vom Browser lokal ausgeführt. Mit Javascript läßt sich natürlich sowas wie eine Passwortabfrage realisieren, die ist aber völlig witzlos, weil das einzugebende Passwort gleich an den Browser mitgesendet werden muss, das kann also im Quelltext eingesehen werden. Das ganze sieht also allerhöchstens oberflächlich nach einer Passwortabfrage aus und reicht gerade einmal, um 100%ige VollDAUs zu verwirren.
Du brauchst etwas, das server- und nicht browserseitig funktioniert.
EDIT: mal davon abgesehen, dass es immer noch komplizierter ist, das in JS zu "programmieren", anstatt 5 Zeilen in eine .htaccess zu kopieren. Problematisch ist es nur dann, wenn dein Webspace-Provider die Funktion deaktiviert hat (manche Provider machen das, weil es einen gewisse [wenn auch minimale] zusätzliche Serverlast bedeutet)
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
musikdusche
reflektierender User
Anmeldungsdatum: 29.05.2006
Beiträge: 896
Wohnort: Düsseldorf
|
| (#1413217) Verfasst am: 05.01.2010, 12:22 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| NOCQUAE hat folgendes geschrieben: | | musikdusche hat folgendes geschrieben: | | Poldi hat folgendes geschrieben: | | Also, mit Javascript is da gleich mal Essig |
Warum? |
Javascript wird vom Browser lokal ausgeführt. Mit Javascript läßt sich natürlich sowas wie eine Passwortabfrage realisieren, die ist aber völlig witzlos, weil das einzugebende Passwort gleich an den Browser mitgesendet werden muss, das kann also im Quelltext eingesehen werden. Das ganze sieht also allerhöchstens oberflächlich nach einer Passwortabfrage aus und reicht gerade einmal, um 100%ige VollDAUs zu verwirren.
Du brauchst etwas, das server- und nicht browserseitig funktioniert.
EDIT: mal davon abgesehen, dass es immer noch komplizierter ist, das in JS zu "programmieren", anstatt 5 Zeilen in eine .htaccess zu kopieren. Problematisch ist es nur dann, wenn dein Webspace-Provider die Funktion deaktiviert hat (manche Provider machen das, weil es einen gewisse [wenn auch minimale] zusätzliche Serverlast bedeutet) |
Auch wenn ihr mich hier langsam von htaccess überzeugt habt, meine eigentliche Idee war folgende (Hier ein kleines proof-of-concept: http://www.musikdusche.de/irgendeineseite.html):
Die JS-Abfrage fragt nicht nach einem Usernamen, nur nach einem Passwort - welches gleichzeitig auch der geheime Ordnername ist. Es wird also im JS gar nicht die Korrektheit eines Passwortes geprüft, sondern direkt ein Redirect auf den eingegebenen Ordnernamen vorgenommen. Ein Klartextpasswort findet sich also nirgends. Ein falsches Passwort/Ordnername erzeugt folglich einen 404.
Deswegen ja auch die Frage, ob man Ordnernamen irgendwie rauskriegen kann. Leider konnte man mir das noch nicht beantworten (bzw. mich würde interessieren, was Rasmus genau in seinem Bsp. gemeint hat). Die Nachteile der JS-Lösung sind für mich bislang nur diese:
* Letztendlich handelt es sich um einen geheimen Link. Mit Links wird aber unbedachter umgegangen als mit username-passwort.
* Ich könnte selbst aus Nachlässigkeit den Fehler begehen, direkt innerhalb meines Web-Projekts (oder in nem Forum) auf den geheimen Ordner zu verlinken
* Sollte der Fall eintreten, dass ich wegen Verbreitung urheberrechtlich geschützen Materials vor Gericht stehe, würde man mir die JS-Lösung vermutlich nicht als "Schutz" abnehmen, die htaccess-Lösung vermutlich schon
* Es ist keine feingranulierte Benutzerrechtevergabe möglich (Benutzer x darf dies, Benutzer y auch das) bzw. Loggingmöglichkeiten. In meinem Falle ist mir das aber herzlich egal.
Hier nochmal einzelheiten zum obigen proof-of-concept:
http://www.musikdusche.de/irgendeineseite.html
Die Funktion, die beim Buttonclick aufgerufen wird, sieht so aus:
| Code: |
function geheim() {
Check = prompt("Geben Sie Ihr Passwort fuer den geheimen Ordner ein", "");
window.location.href = Check;
}
|
wenn man in meinem Beispiel nun das "geheime Passwort" "krams" eingibt, so landet man in einen Ordner. Wenn mir jetzt jemand sagt, wie er dieses Passwort/Ordnername "krams" rausbekommt, wär ich schlauer.
_________________
Jeder Fehler erscheint unglaublich dumm, wenn Andere ihn begehen. (Lichtenberg)
|
|
| Nach oben |
|
|
Rasmus
entartet und notorisch gottlos - Ich bin Papst
Anmeldungsdatum: 20.05.2004
Beiträge: 17559
|
| (#1413252) Verfasst am: 05.01.2010, 14:47 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| musikdusche hat folgendes geschrieben: | | Rasmus hat folgendes geschrieben: | | Dein Provider muss nur die Apache-Einstellungen updaten oder ändern, und eine normale 404-Meldung könnte das Verzeichnis verraten. Zum Beispiel. |
Das verstehe ich leider nicht. Erklär mal bitte. |
Einige Server haben eine *voreingestellte* 404-Fehlerseite, die dem Benutzer mögliche Alternativen bietet, d.h. der Server selber durchsucht den Verzeichnisbaum nach Ordnern und Dateien.
_________________
Brother Sword of Enlightenment of the Unitarian Jihad
If you ask the wrong questions you get answers like '42' or 'God'.
"Glaubst Du noch oder hüpfst Du schon?"
Sylvia Browne - Wahrsager oder Scharlatan?
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1413258) Verfasst am: 05.01.2010, 15:05 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| musikdusche hat folgendes geschrieben: | Auch wenn ihr mich hier langsam von htaccess überzeugt habt, meine eigentliche Idee war folgende (Hier ein kleines proof-of-concept: http://www.musikdusche.de/irgendeineseite.html):
Die JS-Abfrage fragt nicht nach einem Usernamen, nur nach einem Passwort - welches gleichzeitig auch der geheime Ordnername ist. Es wird also im JS gar nicht die Korrektheit eines Passwortes geprüft, sondern direkt ein Redirect auf den eingegebenen Ordnernamen vorgenommen. Ein Klartextpasswort findet sich also nirgends. Ein falsches Passwort/Ordnername erzeugt folglich einen 404. |
Da kannst du den Personen, die Zugriff haben sollen, gleich den Link geben.  Das ist ja nichts anderes, als wenn man einen Link gegeben bekommt, bei dem man den Ordnernamen eingeben muss, auf den weitergeleitet werden soll.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
musikdusche
reflektierender User
Anmeldungsdatum: 29.05.2006
Beiträge: 896
Wohnort: Düsseldorf
|
| (#1413385) Verfasst am: 05.01.2010, 18:25 Titel: Re: "geheimes" Verzeichnis aufm Webserver? |
|
|
| Rasmus hat folgendes geschrieben: | | Einige Server haben eine *voreingestellte* 404-Fehlerseite, die dem Benutzer mögliche Alternativen bietet, d.h. der Server selber durchsucht den Verzeichnisbaum nach Ordnern und Dateien. |
Okay, hab ich zwar noch nie (bewusst) gesehen, ist aber natürlich ein Grund.
| NOCQUAE hat folgendes geschrieben: | | Da kannst du den Personen, die Zugriff haben sollen, gleich den Link geben. Das ist ja nichts anderes, als wenn man einen Link gegeben bekommt, bei dem man den Ordnernamen eingeben muss, auf den weitergeleitet werden soll. |
So isses. Komplette URLs (incl. 24-stufiger Path) sind aber manchmal unpraktikabel. Deswegen nur ein spezieller Ordnername.
_________________
Jeder Fehler erscheint unglaublich dumm, wenn Andere ihn begehen. (Lichtenberg)
|
|
| Nach oben |
|
|
|
FAQ 
Suchen 
Mitgliederliste 
Nutzungsbedingungen 
Benutzergruppen 
Links
Registrieren
Profil 
Einloggen, um private Nachrichten zu lesen 
Login 
