Direct afbeeldingen opvragen verbieden - Softwareontwikkeling

maandag 13 oktober 2008 19:25

Acties:

Topicstarter

Ik heb een directory data, waar onder andere afbeeldingen instaan.
Nu moet de website zelf wel de afbeeldingen aan bezoekers kunnen laten zien, maar moet een afbeelding niet direct opvraagbaar zijn door een gebruiker door de link te volgen.

Met in -Indexes in .htaccess scherm ik het listen al af, maar je kan alsnog de afbeelding direct opvragen.

Is er een mogelijkheid te doen wat ik wil zonder de data map buiten de webroot te plaatsen?

Hotlinken heb ik al afgeschermd maar het bovenstaande zou ik ook nog graag doen!

maandag 13 oktober 2008 19:30

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Zoek eens op referer check of disable hotlinking of deny hotlinking etc.

Overigens niet waterdicht, maar close enough; het is voor lui die het willen misbruiken toch wel te spoofen.

@hieronder; eventueel zijn zelfs die sessions te spoofen op een proxy-achtige manier; maar dan kun je wel weer makkelijk(er) een bepaald IP adres uitsluiten bijvoorbeeld.

[ Voor 127% gewijzigd door RobIII op 13-10-2008 19:40 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 13 oktober 2008 19:32

Acties:

BalusC

Carpe diem

Je zou evt de referrer kunnen checken wanneer een afbeelding wordt opgevraagd, maar aangezien niet iedere client de referrer met de headers meestuurt kun je hiermee potentieel een paar clienten buitensluiten.

Als de server webapplicaties ondersteunt (JSP? PHP?) zou je evt een verborgen session attribuut kunnen zetten bij het opvragen van de pagina en vervolgens tijdens het opvragen van de afbeelding daarop checken.

Edit:

RobIII schreef op maandag 13 oktober 2008 @ 19:30:
Zoek eens op referer check

De juiste spelling levert meer hits

Ook al staat deze lompe typo daadwerkelijk in de HTTP specificatie

[ Voor 27% gewijzigd door BalusC op 13-10-2008 19:34 ]

maandag 13 oktober 2008 19:35

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

BalusC schreef op maandag 13 oktober 2008 @ 19:32:
De juiste spelling levert meer hits Ook al staat deze lompe typo daadwerkelijk in de HTTP specificatie

Klopt:

quote: http://en.wikipedia.org/wiki/Referer
Referer is a common misspelling of the word referrer. It is so common, in fact, that it made it into the official specification of HTTP – the communication protocol of the World Wide Web – and has therefore become the standard industry spelling when discussing HTTP referers.

En ook:

quote: http://tools.ietf.org/html/rfc2616#page-140
The Referer[sic] request-header field allows the client to specify, for the server's benefit, the address (URI) of the resource from which the Request-URI was obtained (the "referrer", although the header field is misspelled.)

Beide spellingen leveren overigens voldoende materiaal op om mee verder te kunnen

Anyway; dit lijkt me meer iets voor PRG.

WEB >> PRG

[ Voor 22% gewijzigd door RobIII op 13-10-2008 19:39 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 14 oktober 2008 16:03

Acties:

Maghiel

Topicstarter

Bedankt voor de antwoorden!
Hotlinken had ik al afgeschermd btw zoals ik m'n start zei

Ik serveer nu de afbeeldingen door een php script, opgelost

Nou heb ik nog wel een probleempje bij het hotlinken uitzetten, dit is m'n .htaccess:

code:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?domein.com(/)?.*$     [NC]
RewriteRule .*\.(gif|jpg|jpeg|bmp|png)$ http://domein.com [R,NC]

Het probleem is dat het domein erg veel aliassen heeft, een stuk of 10. Moet ik die nou allemaal handmatig in de .htaccess toevoegen?

dinsdag 14 oktober 2008 16:05

Acties:

Flard

Wat denk je dat dat derde regeltje doet?

Ik zou je eens even inlezen in reguliere expressies en uitzoeken wat (www\.)? betekent

dinsdag 14 oktober 2008 16:15

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Maghiel schreef op dinsdag 14 oktober 2008 @ 16:03:
Hotlinken had ik al afgeschermd btw zoals ik m'n start zei

Nee, deeplinken heb je waarschijnlijk afgeschermd en directory browsing

Maar dat is niet hotlinken van plaatjes.

[ Voor 15% gewijzigd door RobIII op 14-10-2008 16:15 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 14 oktober 2008 16:55

Acties:

Maghiel

Topicstarter

Flard schreef op dinsdag 14 oktober 2008 @ 16:05:
Wat denk je dat dat derde regeltje doet?

Ik zou je eens even inlezen in reguliere expressies en uitzoeken wat (www\.)? betekent

Ik heb het over aliassen, niet over subdomeinen

RobIII schreef op dinsdag 14 oktober 2008 @ 16:15:
[...]

Nee, deeplinken heb je waarschijnlijk afgeschermd en directory browsing Maar dat is niet hotlinken van plaatjes.

Hotlinken is toch het gebruiken van een afbeelding van het ene domein in een ander domein? Dan had ik dat al wel afgeschermd

dinsdag 14 oktober 2008 17:02

Acties:

Flard

Maghiel schreef op dinsdag 14 oktober 2008 @ 16:55:
[...]

Ik heb het over aliassen, niet over subdomeinen

Ik heb er nog nooit wat mee gedaan, maar misschien met een RewriteMap dan?