Sicherer Zugangsschutz + Verzeichnis / Dateischutz

Carrear

Carrear

Erfahrenes Mitglied
Hi Leute,

ich möchte mich gerne mal im Punkte Sicherheit um einiges verbessern. Deswegen vorweg die Nachfrage nach einem Tutorial für einen wirklich sicheren Zugangsschutz (Login).

Wichtiger ist aber die Nachfrage: Ich habe ein Verzeichnis mit unzähligen PDF Dateien die sensible Daten enthalten. Ich brauche einen wirklich sicheren Zugangsschutz für meine eingeloggten Mitglieder. Diese sollen also je nach Berechtigung (was ich ja via PHP abfragen kann) Zugriff haben, wer aber versucht uneingeloggt zuzugreifen soll eben keinen Zugang haben. VOR ALLEM auch dann nicht, wenn man die direkte URL zum Dokument kennt.

Ich hatte überlegt das zu machen indem ich alle Dateien in einen Ordner schiebe der über dem Hauptordner liegt auf dem Server, der also nicht via HTTP erreichbar ist und dann via PHP Script einen Header Sende der den Download anschiebt. Wäre das sicher und komme ich da an so ein Verzeichnis ÜBER dem Hauptverzeichnis überhaupt dran mit meinem PHP Script?
 
Hi

Alternative:
Das PDF-Verzeichnis ist nicht über dem Hauptverzeichnis, sondern drin,
aber mit einer passenden .htaccess-Datei gegen jeden Zugriff von außen geschützt.
PHP mit Headersenden usw. bleibt gleich.
Solange die Serversoftware keine Probleme hat (Versionen aktuell halten)
geht die Sache mit der direkten Url damit nicht.


Sonst...wie sensibel sind die Daten?
Wirklich 100% sicher geht sowieso nicht.

Je nach Bedarf...
ein Zertifikat kaufen und HTTPS verwenden, gegen Abfangen der Daten unterwegs.

...und ggf. noch dem Heimserver ein Gehäuse spendieren, das beim Öffnen Säure auf die Festplatte ansetzt, das ganze in einen unterirdischen Tresor und Wachen anstellen :suspekt:
 
Kannst mir mal sagen wie so eine HTACCESS Datei aussehen muss, damit ich nur via PHP Header drauf zugreifen kann? HTTPS ist schon gekauft ^^
 
Code: 
order deny,allow
deny from all
Damit kann niemand von außen zugreifen, nur servereigenes Zeug.
Also PHP kanns lesen und ggf. rausschicken.

PS: Der . bei .htaccess und Groß/kleinschreibung ist wichtig.
 
Du könntest du Code auch etwas erweitern auf:
Code: 
<Directory /pdfs>
Order deny,allow
Deny from all
allow from 192.168.2.1 (deine IP-Adresse)
</Directory>
 
Directory ist nicht nötig, wenns das aktuelle Verzeichnis betrifft (wo die htaccess-Datei drin ist).

Und das allow...wozu?
PHP wird doch nicht vom eigenen Apache wieder was anfordern,
sondern die Datei direkt als Datei von der Festplatte aufmachen.
(Außerdem ist es weitere Angriffsfläche)
Noch dazu wird deine eine IP trotzdem nicht zugelassen, weil order deny ist.
 
Achso ok.

Ich verwende zu 99% immer meine "Haupt" htaccess-Datei. Dann hat das Directory auch seine Daseinsberechtigung. :D

Das allow kann Sinnvoll sein, wenn man mal über den Browser Zugriff braucht. Kann man weglassen. Aber der Zugang wird nicht verwehrt mit richtiger IP-Adresse.
 
Sicher, dass bei dir nicht
order allow,deny
ist?

OT: Entwickelst du im Rechenzentrum deines Hosters,
wenn du im gleichen Privatnetz wie der Server bist? :D
 
Also wenn ich NUR diesen Code in die Datei schreibe:

order deny,allow
deny from all

dann schützt esdas Verzeichnis vor Eingriffen von außen? Gilt das auch für sämtliche unterverzeichnisse?
 
Genau.
Eine Datei .htaccess mit diesem Inhalt.

Gilt auch für Unterverzeichnisse, außer sie haben selbst
wieder ein .htaccess mit widersprüchlichem Inhalt.
(Das heißt nicht, dass man die zwei Zeilen immer dabei haben muss,
wenn es eine .htaccess-Datei gibt. Nur andere order/allow/deny-Anweisungen,
die sich mit den oberen überschneiden, sind problematisch)

Es kann zwar durch die allgemeinen Servereinstellungen verhindert werden,
dass Einstellungen dieser Art überhaupt greifen,
aber das kann man ja schnell testen.
Wenns einmal geht und nichts geändert wird gehts immer.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück