Page 1 of 1

Frage zu Downloadcontrol Plugin

Posted: Wed Nov 25, 2020 5:52 pm
by manu
Ist das Plugin Downloadcontrol von svasti einsatzfähig in 1.7.4? Hat das jemand im Einsatz?
Mein Problem:
Ich habe über memberpages geschützte Seiten, die mittels wdir einen Dokumentendownload anbieten. Soweit so gut. Damit diese Download Verzeichnisse auch wirklich geschützt sind, kriegen sie einen Passwortschutz per .htaccess. Jetzt ist es einfach unschön, dass ich mich im Memberbereich anmelden muss und beim Download grad noch einmal. Zudem muss ich die User/Passwörter doppelt führen. Ist Downloadcontrol evtl. eine Alternative dafür?
Gruss manu

Re: Frage zu Downloadcontrol Plugin

Posted: Wed Nov 25, 2020 6:18 pm
by olape
Also ich habe es mit der 1.7.2 im Einsatz, problemlos. (Allerdings ohne PW-Schutz, den habe ich noch nie benötigt.)
Ich denke, da sollte es bei 1.7.4 auch funktionieren.
Aber wenn du die Seiten schon per MemberPages vor unberechtigtem Zugriff schützt, dann muss man die Downloads doch nicht nochmal extra mit PW schützen. Ein Schutz vor direktem Zugriff per .htaccess für den Ordner reicht.

Code: Select all

<IfModule !authz_core_module>
    order deny,allow
    deny from all
</IfModule>
<IfModule authz_core_module>
    Require all denied
</IfModule>
Wenn es eben Apache ist.

Re: Frage zu Downloadcontrol Plugin

Posted: Wed Nov 25, 2020 6:32 pm
by Tata
olape wrote:
Wed Nov 25, 2020 6:18 pm
Aber wenn du die Seiten schon per MemberPages vor unberechtigtem Zugriff schützt, dann muss man die Downloads doch nicht nochmal extra mit PW schützen. Ein Schutz vor direktem Zugriff per .htaccess für den Ordner reicht.
Ich finde es genauso:
Entw. die einzelne Dateien mit dem Plugin zu schützen (etwa so wie es Knollsen besorgt hat)
Oder nur mit REGISTER oder MEMBERSPAGES, indem die Downloadlinks nur auf den beschützten MitgliedSeiten gegeben würden.

Re: Frage zu Downloadcontrol Plugin

Posted: Wed Nov 25, 2020 10:55 pm
by cmb
olape wrote:
Wed Nov 25, 2020 6:18 pm
Aber wenn du die Seiten schon per MemberPages vor unberechtigtem Zugriff schützt, dann muss man die Downloads doch nicht nochmal extra mit PW schützen. Ein Schutz vor direktem Zugriff per .htaccess für den Ordner reicht.
Oder eben praktisch nicht zu erratende Dateinamen verwenden (z.B. 128bit Entropie als Hexadezimalzahl kodiert).

Re: Frage zu Downloadcontrol Plugin

Posted: Thu Nov 26, 2020 7:22 am
by manu
olape wrote:
Wed Nov 25, 2020 6:18 pm
Also ich habe es mit der 1.7.2 im Einsatz, problemlos. (Allerdings ohne PW-Schutz, den habe ich noch nie benötigt.)
Ich denke, da sollte es bei 1.7.4 auch funktionieren.
Aber wenn du die Seiten schon per MemberPages vor unberechtigtem Zugriff schützt, dann muss man die Downloads doch nicht nochmal extra mit PW schützen. Ein Schutz vor direktem Zugriff per .htaccess für den Ordner reicht.

Code: Select all

<IfModule !authz_core_module>
    order deny,allow
    deny from all
</IfModule>
<IfModule authz_core_module>
    Require all denied
</IfModule>
Wenn es eben Apache ist.
Ja dann hauts mir einen 403er rein, wenn ich mittels wdir ein Dokument zum Download anklicke.
In meinem urspünglichen Beispiel sind wohl die Member Seiten und deren wdir Auflistung geschützt. Die aufgelisteten Verzeichnisse und deren Dokumente sind aber (theoretisch) frei abrufbar. Wenn also jemand hinter den Pfad und Dateinamen kommt, sind die sensiblen Daten nicht geschützt. Das ist bei sensiblen Daten nicht akzeptabel.
Aber ich habe gesehen, dass Knollsens aufgebohrtes wdir genau das macht was ich mir wünsche (hoffe ich), den Dateiabruf via php stream, Bravo!

Re: Frage zu Downloadcontrol Plugin

Posted: Thu Nov 26, 2020 9:20 am
by manu
Jaaaa! Knollsens wdir macht genau das, wie ich es mir vorgestellt habe. Vielen Dank!
An Christoph's wdir ist nichts auszusetzen, ausser dass dass es sich in geschützten Bereichen weniger eignet (offene Downloadlinks).

Re: Frage zu Downloadcontrol Plugin

Posted: Thu Nov 26, 2020 4:54 pm
by olape
manu wrote:
Thu Nov 26, 2020 7:22 am
Ja dann hauts mir einen 403er rein, wenn ich mittels wdir ein Dokument zum Download anklicke.
Das wird sein, es ging ja aber um Downloadcontrol. Da funktioniert es auf die Art. Hätte ich noch dazu schreiben sollen, so war das vielleicht etwas missverständlich.

Na egal, du hast ja eine Lösung gefunden.