Frage zu Downloadcontrol Plugin

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Post Reply
manu
Posts: 1086
Joined: Wed Jun 04, 2008 12:05 pm
Location: St. Gallen - Schweiz
Contact:

Frage zu Downloadcontrol Plugin

Post by manu » Wed Nov 25, 2020 5:52 pm

Ist das Plugin Downloadcontrol von svasti einsatzfähig in 1.7.4? Hat das jemand im Einsatz?
Mein Problem:
Ich habe über memberpages geschützte Seiten, die mittels wdir einen Dokumentendownload anbieten. Soweit so gut. Damit diese Download Verzeichnisse auch wirklich geschützt sind, kriegen sie einen Passwortschutz per .htaccess. Jetzt ist es einfach unschön, dass ich mich im Memberbereich anmelden muss und beim Download grad noch einmal. Zudem muss ich die User/Passwörter doppelt führen. Ist Downloadcontrol evtl. eine Alternative dafür?
Gruss manu

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Frage zu Downloadcontrol Plugin

Post by olape » Wed Nov 25, 2020 6:18 pm

Also ich habe es mit der 1.7.2 im Einsatz, problemlos. (Allerdings ohne PW-Schutz, den habe ich noch nie benötigt.)
Ich denke, da sollte es bei 1.7.4 auch funktionieren.
Aber wenn du die Seiten schon per MemberPages vor unberechtigtem Zugriff schützt, dann muss man die Downloads doch nicht nochmal extra mit PW schützen. Ein Schutz vor direktem Zugriff per .htaccess für den Ordner reicht.

Code: Select all

<IfModule !authz_core_module>
    order deny,allow
    deny from all
</IfModule>
<IfModule authz_core_module>
    Require all denied
</IfModule>
Wenn es eben Apache ist.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

Tata
Posts: 3586
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: Frage zu Downloadcontrol Plugin

Post by Tata » Wed Nov 25, 2020 6:32 pm

olape wrote:
Wed Nov 25, 2020 6:18 pm
Aber wenn du die Seiten schon per MemberPages vor unberechtigtem Zugriff schützt, dann muss man die Downloads doch nicht nochmal extra mit PW schützen. Ein Schutz vor direktem Zugriff per .htaccess für den Ordner reicht.
Ich finde es genauso:
Entw. die einzelne Dateien mit dem Plugin zu schützen (etwa so wie es Knollsen besorgt hat)
Oder nur mit REGISTER oder MEMBERSPAGES, indem die Downloadlinks nur auf den beschützten MitgliedSeiten gegeben würden.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: Frage zu Downloadcontrol Plugin

Post by cmb » Wed Nov 25, 2020 10:55 pm

olape wrote:
Wed Nov 25, 2020 6:18 pm
Aber wenn du die Seiten schon per MemberPages vor unberechtigtem Zugriff schützt, dann muss man die Downloads doch nicht nochmal extra mit PW schützen. Ein Schutz vor direktem Zugriff per .htaccess für den Ordner reicht.
Oder eben praktisch nicht zu erratende Dateinamen verwenden (z.B. 128bit Entropie als Hexadezimalzahl kodiert).
Christoph M. Becker – Plugins for CMSimple_XH

manu
Posts: 1086
Joined: Wed Jun 04, 2008 12:05 pm
Location: St. Gallen - Schweiz
Contact:

Re: Frage zu Downloadcontrol Plugin

Post by manu » Thu Nov 26, 2020 7:22 am

olape wrote:
Wed Nov 25, 2020 6:18 pm
Also ich habe es mit der 1.7.2 im Einsatz, problemlos. (Allerdings ohne PW-Schutz, den habe ich noch nie benötigt.)
Ich denke, da sollte es bei 1.7.4 auch funktionieren.
Aber wenn du die Seiten schon per MemberPages vor unberechtigtem Zugriff schützt, dann muss man die Downloads doch nicht nochmal extra mit PW schützen. Ein Schutz vor direktem Zugriff per .htaccess für den Ordner reicht.

Code: Select all

<IfModule !authz_core_module>
    order deny,allow
    deny from all
</IfModule>
<IfModule authz_core_module>
    Require all denied
</IfModule>
Wenn es eben Apache ist.
Ja dann hauts mir einen 403er rein, wenn ich mittels wdir ein Dokument zum Download anklicke.
In meinem urspünglichen Beispiel sind wohl die Member Seiten und deren wdir Auflistung geschützt. Die aufgelisteten Verzeichnisse und deren Dokumente sind aber (theoretisch) frei abrufbar. Wenn also jemand hinter den Pfad und Dateinamen kommt, sind die sensiblen Daten nicht geschützt. Das ist bei sensiblen Daten nicht akzeptabel.
Aber ich habe gesehen, dass Knollsens aufgebohrtes wdir genau das macht was ich mir wünsche (hoffe ich), den Dateiabruf via php stream, Bravo!

manu
Posts: 1086
Joined: Wed Jun 04, 2008 12:05 pm
Location: St. Gallen - Schweiz
Contact:

Re: Frage zu Downloadcontrol Plugin

Post by manu » Thu Nov 26, 2020 9:20 am

Jaaaa! Knollsens wdir macht genau das, wie ich es mir vorgestellt habe. Vielen Dank!
An Christoph's wdir ist nichts auszusetzen, ausser dass dass es sich in geschützten Bereichen weniger eignet (offene Downloadlinks).

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Frage zu Downloadcontrol Plugin

Post by olape » Thu Nov 26, 2020 4:54 pm

manu wrote:
Thu Nov 26, 2020 7:22 am
Ja dann hauts mir einen 403er rein, wenn ich mittels wdir ein Dokument zum Download anklicke.
Das wird sein, es ging ja aber um Downloadcontrol. Da funktioniert es auf die Art. Hätte ich noch dazu schreiben sollen, so war das vielleicht etwas missverständlich.

Na egal, du hast ja eine Lösung gefunden.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

Post Reply