Toon posts:

.htaccess / .htpasswd toegang

Pagina: 1
Acties:

  • ic3j
  • Registratie: maart 2010
  • Laatst online: 08-04-2013
Een adminmap op de server is beveiligd met htaccess / htpasswd. In deze map staat onder andere een map met documenten die de admin nodig heeft. Deze documenten (PDF/DOC/etc) worden door het CMS en diverse apparaten in het netwerk gebruikt.

Sinds enige tijd is er een nieuwe groep gebruikers die deze documenten ook nodig hebben. Met PHP kan ik deze lijsten van bestanden tonen, maar wanneer zij het bestand willen downloaden moeten zij uiteraard de login hebben, die mogen zij niet hebben omdat zij niet bij de bestanden in de adminmap mogen, maar wel in deze map die in de adminmap staat.

Is er een gemakkelijke manier waardoor zij toch bij de bestanden kunnen zonder een hele inlogmodule te gaan schrijven?

Het is een Apache server.

  • Tharulerz
  • Registratie: april 2009
  • Laatst online: 17-09 13:28
Je kan het bestand met PHP ook inlezen.

[Voor 93% gewijzigd door Tharulerz op 18-10-2010 15:03]


  • RaZ
  • Registratie: november 2000
  • Niet online
De gemakkelijke manier is om te zorgen dat je je rechtenstructuur in orde hebt.

Oftewel: Geen documenten in een admin-groep gooien als er ook non-admins bij moeten komen.

  • CodeCaster
  • Registratie: juni 2003
  • Niet online

CodeCaster

👌👀 good shit ✔💯

Tharulerz schreef op maandag 18 oktober 2010 @ 11:00:
PHP:
1
//


Dit had je ook kunnen vinden door gewoon te googlen.
Dat is volgens mij niet helemaal wat de TS bedoelt. Verder met RaZ.

[Voor 3% gewijzigd door CodeCaster op 18-10-2010 11:04]

As always, we are nailed to a cross of our own construction.


  • Tharulerz
  • Registratie: april 2009
  • Laatst online: 17-09 13:28
CodeCaster schreef op maandag 18 oktober 2010 @ 11:04:
[...]

Dat is volgens mij niet helemaal wat de TS bedoelt. Verder met RaZ.
Met dat script kan hij perfect de filename meegeven aan het php script, waardoor het php script het bestand gaat ophalen en niet de user zelf. Dan moet enkel het php script rechten hebben, en niet de user.

Is het gemakkelijker als je rechten op orde zetten? Ja

Is het beter? Tuurlijk niet

  • ic3j
  • Registratie: maart 2010
  • Laatst online: 08-04-2013
Tharulerz > Dank, had niet gedacht dat het zo gemakkelijk zou zijn. Zat allemaal te klooien met htaccess rechten en sessies e.d. Volgens mij moet het met deze opzet goed lukken!

RaZ > Ja, dat is jarenlang zo de bedoeling geweest. Maar na 3 jaar is er een nieuwe groep toegevoegd. Dat had ik eerder niet echt kunnen voorzien.

[Voor 16% gewijzigd door ic3j op 18-10-2010 11:19]


  • CodeCaster
  • Registratie: juni 2003
  • Niet online

CodeCaster

👌👀 good shit ✔💯

ic3j schreef op maandag 18 oktober 2010 @ 11:18:
Tharulerz > Dank, had niet gedacht dat het zo gemakkelijk zou zijn. Zat allemaal te klooien met htaccess rechten en sessies e.d. Volgens mij moet het met deze opzet goed lukken!

RaZ > Ja, dat is jarenlang zo de bedoeling geweest. Maar na 3 jaar is er een nieuwe groep toegevoegd. Dat had ik eerder niet echt kunnen voorzien.
Dus je gaat nu met PHP de beveiliging van het bestandssysteem en apache omzeilen? Zorg je dan wel dat ze alleen die documentenmap kunnen benaderen, en niet dat je de filename "../config.php" ook kan opvragen? Of "../htpasswd" als we toch bezig zijn?

Is het niet gewoon veel makkelijker om de map met documenten te verplaatsen naar een publiek toegankelijke locatie en een symlink aan te maken voor de admins, om maar wat te roepen?

As always, we are nailed to a cross of our own construction.


  • Davio
  • Registratie: november 2007
  • Laatst online: 13-07 14:13
Met .htaccess kun je toch ook groups toevoegen?

Ik snap het probleem van het inloggen niet echt, is dat werkelijk zo'n probleem?

  • Janoz
  • Registratie: oktober 2000
  • Nu online

Janoz

Moderator Devschuur®

!litemod

ic3j schreef op maandag 18 oktober 2010 @ 11:18:
Tharulerz > Dank, had niet gedacht dat het zo gemakkelijk zou zijn. Zat allemaal te klooien met htaccess rechten en sessies e.d. Volgens mij moet het met deze opzet goed lukken!
Vergeet het voorstel alsjeblieft zo snel mogelijk. Dit is een typische grote stappen snel thuis omzeil actie die onherroepelijk gaat leiden tot een huge security hole. Als je het dan toch zo wilt doen is het makkelijker om maar gelijk de htaccess bestanden weg te halen want die hebben dan ook niet veel zin meer.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'


  • Tharulerz
  • Registratie: april 2009
  • Laatst online: 17-09 13:28
Ik moet zeggen dat ik het script zelf gebruik met IDs en een SQL tabel met filenames erin, ik zie het security probleem dan niet zo direct?

  • MueR
  • Registratie: januari 2004
  • Laatst online: 24-09 17:44

MueR

Moderator Devschuur®

is niet lief

Tharulerz schreef op maandag 18 oktober 2010 @ 13:30:
Ik moet zeggen dat ik het script zelf gebruik met IDs en een SQL tabel met filenames erin, ik zie het security probleem dan niet zo direct?
Dat is een compleet andere setup. Dan heb je een whitelist van bestanden die opgevraagd mag worden. Het stuk script wat jij hierboven post is gewoon een download methode voor een willekeurig bestand (wat overigens een stuk korter kan). Als je vervolgens gewoon download.php?file=foo.doc laat downloaden, is het nogal makkelijk om daarmee te gaan vissen naar download.php?file=../../config.php, en ineens heb ik je database wachtwoord.

Anyone who gets in between me and my morning coffee should be insecure.
Breng nu uw applicatie naar de kloot. Dat is veel beter! Nu samen met klootopslag. Voor maar €9,95. Doei doei!


  • Tharulerz
  • Registratie: april 2009
  • Laatst online: 17-09 13:28
Daar geef ik je volkomen gelijk in. Maar aangezien OP ook niet zoveel moeite in zijn openingspost had gestoken, had ik ook niet zoveel zin om veel tijd in de mijne te steken.

Mijn excuses!

  • moozzuzz
  • Registratie: januari 2005
  • Laatst online: 10-01 23:26
Indien de TS toch met de PHP oplossing verder wilt, zal hij op z'n minst de .. uit het filepath moeten halen en best ook prependen (ik noem dat in mijn eigen brabbeltaal sandboxen :-)

PHP:
1
2
/* pseudocode */
$filepath = './geheimemap/'.str_replace('..', '', trim( $filepath ));

  • ic3j
  • Registratie: maart 2010
  • Laatst online: 08-04-2013
De meesten hebben een punt wanneer ze zeggen dat dit niet de meest ideale oplossing is. Ik moet daar echter wel iets aan toevoegen.

1. Ik ga van deze oplossing af door de map te verplaatsen en met een eigen inlogsysteem te werken. Dit is een tijdelijke pleister.

2. Het script zoals gepost (ik gebruik overigens fpassthru) is wél beveiligd.
- Er wordt gekeken naar de inlog zodat uiteraard alleen de nieuwe users (of admins) toegang hebben.
- Er wordt gekeken naar het IP, de bestanden mogen alleen vanaf één werkplek geopend worden.
- Alleen .pdf bestanden worden uitgelezen. Er wordt uitgebreid gecontroleerd of het wel écht een pdf-bestand is.
- Alleen .pdf bestanden mogen worden gedownload.
- Voor de zekerheid is er een array toegevoegd van bestanden die absoluut niet benaderd mogen worden. Zowel extensie, bestandstype en (delen van de) bestandsnaam.
- Filepath wordt inderdaad gefilterd.

3. De gebruikers zijn bekend. Het zijn allen complete computer nitwits, echter is het geen ramp wanneer zij de adminfolder weten in te komen. Ze zouden net zo goed in de pauze achter de computer van een admin kunnen kruipen.


Tharulerz > Ik vroeg ook niet naar een script en al helemaal niet naar de veiligheidsgebreken daar in. Ik ga er op GOT, net als ieder ander, van uit dat ik geen kant en klare oplossingen in mijn schoot geworpen krijg maar simpelweg in de juiste hoek geduwd wordt. Mij in eerste instantie kwalijk nemen dat ik voor zoiets simpels niet Google en vervolgens bijna verwijten dat ik niet om een compleet script vraag vind ik dan een beetje vreemd.

[Voor 16% gewijzigd door ic3j op 18-10-2010 14:34]


  • t.coenraad
  • Registratie: juli 2008
  • Laatst online: 11:38
ic3j schreef op maandag 18 oktober 2010 @ 14:15:
3. De gebruikers zijn bekend. Het zijn allen complete computer nitwits, echter is het geen ramp wanneer zij de adminfolder weten in te komen. Ze zouden net zo goed in de pauze achter de computer van een admin kunnen kruipen.
Als iemand hun account gebruikt - omdat ze niet weten hoe uit te loggen - dan is dit punt niet meer geldig natuurlijk ;)

  • ic3j
  • Registratie: maart 2010
  • Laatst online: 08-04-2013
t.coenraad schreef op maandag 18 oktober 2010 @ 14:29:
[...]

Als iemand hun account gebruikt - omdat ze niet weten hoe uit te loggen - dan is dit punt niet meer geldig natuurlijk ;)
Klopt, maar het is ook om te benadrukken dat men elkaar wel een beetje kan vertrouwen maar onderling simpelweg de taken heeft verdeeld.

  • Tharulerz
  • Registratie: april 2009
  • Laatst online: 17-09 13:28
ic3j schreef op maandag 18 oktober 2010 @ 14:15:

Tharulerz > Ik vroeg ook niet naar een script en al helemaal niet naar de veiligheidsgebreken daar in. Ik ga er op GOT, net als ieder ander, van uit dat ik geen kant en klare oplossingen in mijn schoot geworpen krijg maar simpelweg in de juiste hoek geduwd wordt. Mij in eerste instantie kwalijk nemen dat ik voor zoiets simpels niet Google en vervolgens bijna verwijten dat ik niet om een compleet script vraag vind ik dan een beetje vreemd.
Dan is mijn opzet toch perfect geslaagd?

Ik heb je met mijn script in de juiste richting geduwd, en de security en andere measures kon je dan zelf wel nemen. Het waren anderen die je wezen op de security issues, en ik verwijt je helemaal niets...

  • CodeCaster
  • Registratie: juni 2003
  • Niet online

CodeCaster

👌👀 good shit ✔💯

Tharulerz schreef op maandag 18 oktober 2010 @ 14:46:
[...]


Dan is mijn opzet toch perfect geslaagd?

Ik heb je met mijn script in de juiste richting geduwd, en de security en andere measures kon je dan zelf wel nemen. Het waren anderen die je wezen op de security issues, en ik verwijt je helemaal niets...
Als dat je insteek was heb je een in mijn ogen onaanvaardbare aanname gedaan, namelijk dat de topicstarter op zoek was naar ideeën, en niet naar code. Ideeën uitwisselen is uitstekend, php-code uitwisselen is op z'n zachtst gezegd minder fijn. Sterker nog, de meeste php-code die op internet rondzwerft had nooit geschreven mogen worden.

En dat je de topicstarter hoog inschat is (no offense naar de TS) tot daar aan toe. Wat nu als een willekeurige Google'er op "php bestand downloaden" langskomt in dit topic en die code in ongewijzigde vorm in gaat zetten op z'n site?

[Voor 5% gewijzigd door CodeCaster op 18-10-2010 14:50]

As always, we are nailed to a cross of our own construction.


  • Flowmo
  • Registratie: november 2002
  • Laatst online: 24-09 15:28

Flowmo

iframe is my middle name

CodeCaster schreef op maandag 18 oktober 2010 @ 14:49:
[...]

Als dat je insteek was heb je een in mijn ogen onaanvaardbare aanname gedaan, namelijk dat de topicstarter op zoek was naar ideeën, en niet naar code. Ideeën uitwisselen is uitstekend, php-code uitwisselen is op z'n zachtst gezegd minder fijn. Sterker nog, de meeste php-code die op internet rondzwerft had nooit geschreven mogen worden.

En dat je de topicstarter hoog inschat is (no offense naar de TS) tot daar aan toe. Wat nu als een willekeurige Google'er op "php bestand downloaden" langskomt in dit topic en die code in ongewijzigde vorm in gaat zetten op z'n site?
Is dat dan de fout van de gebruiker die de code post? Of de fout van de persoon die de code in deze vorm gebruikt?

  • CodeCaster
  • Registratie: juni 2003
  • Niet online

CodeCaster

👌👀 good shit ✔💯

Van de poster.

Als je zegt "je zou met PHP het bestand kunnen inlezen" weet TS toch genoeg? Er staat nu een stuk code geponeerd als ware het dé oplossing voor het kunnen inlezen van bestanden in PHP en versturen via HTTP. Als je de beveiliging en implementatie van dit stukje code afdoende wil indekken heb je nog een A4'tje aan commentaar en documentatie nodig, terwijl nu iedere nitwit het kan copypasten naar z'n vanaf dan gegarandeerd onveilige site.

Je kan het de onwetende niet kwalijk nemen dat hij vergif neemt als het als gebak wordt voorgeschoteld.

[Voor 16% gewijzigd door CodeCaster op 18-10-2010 15:04]

As always, we are nailed to a cross of our own construction.


  • ic3j
  • Registratie: maart 2010
  • Laatst online: 08-04-2013
Tharulerz schreef op maandag 18 oktober 2010 @ 14:46:
[...]


Dan is mijn opzet toch perfect geslaagd?

Ik heb je met mijn script in de juiste richting geduwd, en de security en andere measures kon je dan zelf wel nemen. Het waren anderen die je wezen op de security issues, en ik verwijt je helemaal niets...
Okay, dat gevoel kreeg ik. Excuses. Zoals ik al eerder schreef ben ik je dankbaar voor de oplossing!

CodeCaster > Ben het met Flowmo eens wat betreft jouw laatste alinea. Begrijp wel wat je bedoeld overigens hoor.

[Voor 3% gewijzigd door ic3j op 18-10-2010 15:03]

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee