Bilder Direktaufruf für Gäste verhindern

  • Servus!


    Mir ist aufgefallen, das wenn Gäste/Suchmascinen den direkten Pfad des Bildes kennen oder das Verzeichnis userImages durchsuchen, trotzdem Verbotsrecht die Bilder anschauen können.


    Gibt es dafür eine Lösung?


    Gruß, Thomas

  • Das ist auch nicht anders möglich. Der Direktaufruf einer Bilddatei ist immer möglich, wenn man die URL kennt. Der direkte Aufruf ist technisch nicht zu unterbinden, solange man es irgendwo anders anzeigen lassen will.

  • Technisch ist das schon möglich. Entweder man legt das Image-Verzeichis außerhalb vom Root oder sperrt das Image-Verzeichis per htaccess.
    Dann liest man das Bild per php ein, wie es auch vBulletin macht z.B. per attachment.php?attachmentid=807&d=1415486711


    Gruß, Thomas

  • Oder eben wie bei WBB in Beiträgen hochgeladene Bilder. Diese sind auch nicht ohne vergebene Recht mit Direktlink aufzurufen, da das Image-Verzeichis per htaccess gesprerrt ist. ;)


    Gruß, Thomas

  • Ja, aber auch nur wenn man die Rechte dazu hat und darum geht es ja!


    Gruß, Thomas

  • Ich kann Dir leider nicht ganz folgen. Welche Rechte meinst Du?





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

  • Wenn ich zB. Gäste verbiete Bilder in Beiträgen anzusehen, dann können sie auch per Direktzugriff keine Bilder ansehen.
    In der Galerie liegen die Bilder aber für Direktzugriff frei für alle.


    Gruß, Thomas

    • Official Post

    Die ganzen Bilder via PHP auszuliefern ist unglaublich langsam (im direkten Vergleich zur Auslieferung durch den Webserver), denn zwecks Prüfung der Berechtigung muss jedes Mal das gesamte WCF inklusive der installierten Anwendungen geladen werden. Dazu kommt noch, dass Webserver auf das Ausliefern von Dateien ausgelegt sind und somit umfangreiche Strategien verfolgen um Dateien im Arbeitsspeicher zu halten und somit schneller auszuliefern.


    Wenn man nur ein kleines Forum mit nur geringer Aktivität hat, so fällt dies in der Regel nicht ins Gewicht, da sich der Webserver sowieso 24/7 langweilt und nichts zu tun hat. Sobald das Forum aber stärker frequentiert wird, macht sich diese zusätzliche Last um ein vielfaches stärker bemerkbar und kann dann negativen Einfluss auf die gesamte Geschwindigkeit haben. Wir müssen als Hersteller die unterschiedlichsten Szenarien bedenken und dann einen passenden Kompromiss finden.


    Davon abgesehen ist ein erraten des Bildnamens doch relativ unwahrscheinlich, wenn man sich die Komplexität anschaut. Man muss dafür die ID, eine 8-stellige Zeichenkette (bestehend aus 0-9 und a-f) sowie die Dateiendung erraten. Nur die Kombination aller 3 Merkmale ermöglicht den direkten Aufruf der Datei. Viel wahrscheinlicher ist es, dass der Link von einer berechtigten Person an eine 3. Person weitergegeben wurde und die kann (auch unter Verwendung von Bilder-Hostern) das Bild per se beliebig weitergeben.

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Ja, aber mit den Anhängen in den Posts macht ich doch auch vorher per php eine Rechteabfrage und dort können auch viel Anhänge sein.


    Dann ist aber die Einstellung "Kann Bilder sehen" nicht ganz richtig. Müsste heißen "Kann Galerie sehen" heißen. Die User die "Nein" einstellen, gehen davon aus das diese Benutzer auch wirklich nicht an die Bilder rankommen. So wie es auch in den Beiträgen ist.


    Davon abgesehen ist ein erraten des Bildnamens doch relativ unwahrscheinlich, wenn man sich die Komplexität anschaut. Man muss dafür die ID, eine 8-stellige Zeichenkette (bestehend aus 0-9 und a-f) sowie die Dateiendung erraten. Nur die Kombination aller 3 Merkmale ermöglicht den direkten Aufruf der Datei. Viel wahrscheinlicher ist es, dass der Link von einer berechtigten Person an eine 3. Person weitergegeben wurde und die kann (auch unter Verwendung von Bilder-Hostern) das Bild per se beliebig weitergeben.


    Ich denke da eher an Suchmaschinen und Schnüffelprogramme, die Verzeichnisse absuchen und in der Welt verteilen.


    Gruß, Thomas

  • Wenn ich das hier lese hat man das mit dem Datenschutz nie wirklich ernst genommen und eine Lösung seitens der Forensoftware angeboten!


    Sehr Traurig,."


    Übersetzt, entferne ich die Erweiterung von WL, sind die Inhalte immer noch auf dem Server....

    Zu 99% Imprtieren die meisten User Ihre Gallery in eine Medienverwaltung, bleibt das besagte Problem das dann keine Benutzerrechte mehr greifen für die Dateianhängen in den Beiträgen usw.


    Was macht es unmöglich dazu ein Hinweis in der Benuzung mit auszuliefern, das Käufer wissen was mit ihren Daten passiert nach dem entfernen der Gallery?


    Danke @ThomasE für deinen Hinweis zu dem "großen" Problem.

    Freundliche Grüße HSE24 & onel01

  • Was macht es unmöglich dazu ein Hinweis in der Benuzung mit auszuliefern, das Käufer wissen was mit ihren Daten passiert nach dem entfernen der Gallery?

    Nach dem entfernen der WL Galerie kannst ud doch auch einfach den Ordner löschen und schon sind diese auch nicht mehr aufrufbar.


    Und Alex hat es dochs chon deutlich genug gesagt, dass man nur an den direkten Link kommt sobald man die Punkte errät wie oben beschrieben..

    Ich denke da eher an Suchmaschinen und Schnüffelprogramme, die Verzeichnisse absuchen und in der Welt verteilen.

    Und die kannst ud doch aussperren vom verzeichnis

  • Nach dem entfernen der WL Galerie kannst ud doch auch einfach den Ordner löschen und schon sind diese auch nicht mehr aufrufbar.


    Und Alex hat es dochs chon deutlich genug gesagt, dass man nur an den direkten Link kommt sobald man die Punkte errät wie oben beschrieben..

    Und die kannst ud doch aussperren vom verzeichnis

    Dann sind deine Beiträge ohne den angelegten Bilder..na fein...

    Freundliche Grüße HSE24 & onel01

  • Also soweit ich das sehe ist das Hauptprobklem wie Suchmaschienen den Inhalt auslesen eine falsche Apache Konfig bei der das Direktory listing nicht deaktiviert wurde.

    In dem Fall kann die Suchmaschiene dann nach der Installation auf einen Verzeichnis Link stoßen und von dort aus den kompletten Inhalt indizieren.

    Ist das Verhalten nicht gewünscht muss man halt selbst für den Schutz sorgen ;)

  • Keine 10 Jahre rückwärts gehen Throwholics , jeden Beitrag nachsehen welches Bild GAST Sichtbar ist, abmelden und als ADMIN Bild entfernen (so fern es vorliegt!) und neu speichern mit neuem Bild link aus der Medienverwaltung . Abmelden/Anmelden als Registriertes Mitglied - Bild als Link...


    ist so einfach, aber dazu wurde 2014 schon Stellung genommen - das von Seiten WL die Gallery mit dem Bild in einem Beitrag, welches für jeden Besucher zugänglich ist es keine Sicherheit gibt, wenn die Benutzergruppen Rechte auf "NICHTS sehen steht" für Jeder/Gäste/Registriert.


    Und doch kann in dem Beitrag das Bild vom Besucher gesehen und geöffnet werden - Benutzerrechte gleich 0


    Und ich benötige kein Verzeichnisschutz mit PW, das macht doch noch komplizierter?!

    Eine einfache Lösung, damit diese Bilder nicht zu benutzen sind hätte ich gerne? Morik wie muss das umgesetzt werden?

    Freundliche Grüße HSE24 & onel01

  • Meine Lösung sieht nur fern wie verhindert wird wie alle Bilder nach der deinstallation von Suchmaschienen indiziertw erden.

    Das hat aber erst mal nichts mit deinem Vorhaben zu tun ;)


    Btw, deinen Vorschlag müsste man theoretisch via bbcode umsetzen, in dem kann man rechte ohne performance einbusen abfragen, die bild links könnten beim speichern konvertiert werden und damit das Problem umschiffen.

  • Das habe ich nun erfahren, mit Verzeichnisschutz - alle Bilder nicht mehr in den Beiträgen zugänglich Fehler Ausgabe.

    Das sind nach fast 10 Jahren 7000 Dateien die als Anhang aus der WL Gallery in den Beiträgen verlinkt sind!


    Mein Mitglieder würden sich freuen, wenn man nur noch "Fehler" ließt statt der Bilder :thumbdown:

    Freundliche Grüße HSE24 & onel01

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!