Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

.htaccess / .htpasswd toegang

Pagina: 1
Acties:

maandag 18 oktober 2010 10:57

Acties:

Verwijderd

Topicstarter
Een adminmap op de server is beveiligd met htaccess / htpasswd. In deze map staat onder andere een map met documenten die de admin nodig heeft. Deze documenten (PDF/DOC/etc) worden door het CMS en diverse apparaten in het netwerk gebruikt.

Sinds enige tijd is er een nieuwe groep gebruikers die deze documenten ook nodig hebben. Met PHP kan ik deze lijsten van bestanden tonen, maar wanneer zij het bestand willen downloaden moeten zij uiteraard de login hebben, die mogen zij niet hebben omdat zij niet bij de bestanden in de adminmap mogen, maar wel in deze map die in de adminmap staat.

Is er een gemakkelijke manier waardoor zij toch bij de bestanden kunnen zonder een hele inlogmodule te gaan schrijven?

Het is een Apache server.

maandag 18 oktober 2010 11:00

Acties:
  • Tharulerz
  • Registratie: April 2009
  • Laatst online: 10-04 05:16

Tharulerz

Je kan het bestand met PHP ook inlezen.

[ Voor 93% gewijzigd door Tharulerz op 18-10-2010 15:03 ]

maandag 18 oktober 2010 11:00

Acties:
  • RaZ
  • Registratie: November 2000
  • Niet online

RaZ

Funky Cold Medina

De gemakkelijke manier is om te zorgen dat je je rechtenstructuur in orde hebt.

Oftewel: Geen documenten in een admin-groep gooien als er ook non-admins bij moeten komen.

Ey!! Macarena \o/

maandag 18 oktober 2010 11:04

Acties:
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Can I get uhm...

Tharulerz schreef op maandag 18 oktober 2010 @ 11:00:
PHP:
1

//


Dit had je ook kunnen vinden door gewoon te googlen.
Dat is volgens mij niet helemaal wat de TS bedoelt. Verder met RaZ.

[ Voor 3% gewijzigd door CodeCaster op 18-10-2010 11:04 ]

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

maandag 18 oktober 2010 11:08

Acties:
  • Tharulerz
  • Registratie: April 2009
  • Laatst online: 10-04 05:16

Tharulerz

CodeCaster schreef op maandag 18 oktober 2010 @ 11:04:
[...]

Dat is volgens mij niet helemaal wat de TS bedoelt. Verder met RaZ.
Met dat script kan hij perfect de filename meegeven aan het php script, waardoor het php script het bestand gaat ophalen en niet de user zelf. Dan moet enkel het php script rechten hebben, en niet de user.

Is het gemakkelijker als je rechten op orde zetten? Ja

Is het beter? Tuurlijk niet

maandag 18 oktober 2010 11:18

Acties:

Verwijderd

Topicstarter
Tharulerz > Dank, had niet gedacht dat het zo gemakkelijk zou zijn. Zat allemaal te klooien met htaccess rechten en sessies e.d. Volgens mij moet het met deze opzet goed lukken!

RaZ > Ja, dat is jarenlang zo de bedoeling geweest. Maar na 3 jaar is er een nieuwe groep toegevoegd. Dat had ik eerder niet echt kunnen voorzien.

[ Voor 16% gewijzigd door Verwijderd op 18-10-2010 11:19 ]

maandag 18 oktober 2010 11:44

Acties:
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Can I get uhm...

Verwijderd schreef op maandag 18 oktober 2010 @ 11:18:
Tharulerz > Dank, had niet gedacht dat het zo gemakkelijk zou zijn. Zat allemaal te klooien met htaccess rechten en sessies e.d. Volgens mij moet het met deze opzet goed lukken!

RaZ > Ja, dat is jarenlang zo de bedoeling geweest. Maar na 3 jaar is er een nieuwe groep toegevoegd. Dat had ik eerder niet echt kunnen voorzien.
Dus je gaat nu met PHP de beveiliging van het bestandssysteem en apache omzeilen? Zorg je dan wel dat ze alleen die documentenmap kunnen benaderen, en niet dat je de filename "../config.php" ook kan opvragen? Of "../htpasswd" als we toch bezig zijn?

Is het niet gewoon veel makkelijker om de map met documenten te verplaatsen naar een publiek toegankelijke locatie en een symlink aan te maken voor de admins, om maar wat te roepen?

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

maandag 18 oktober 2010 12:21

Acties:
  • Davio
  • Registratie: November 2007
  • Laatst online: 06-01 16:46

Davio

Met .htaccess kun je toch ook groups toevoegen?

Ik snap het probleem van het inloggen niet echt, is dat werkelijk zo'n probleem?

maandag 18 oktober 2010 13:26

Acties:
  • Janoz
  • Registratie: Oktober 2000
  • Laatst online: 11:35

Janoz

Moderator Devschuur®

!litemod

Verwijderd schreef op maandag 18 oktober 2010 @ 11:18:
Tharulerz > Dank, had niet gedacht dat het zo gemakkelijk zou zijn. Zat allemaal te klooien met htaccess rechten en sessies e.d. Volgens mij moet het met deze opzet goed lukken!
Vergeet het voorstel alsjeblieft zo snel mogelijk. Dit is een typische grote stappen snel thuis omzeil actie die onherroepelijk gaat leiden tot een huge security hole. Als je het dan toch zo wilt doen is het makkelijker om maar gelijk de htaccess bestanden weg te halen want die hebben dan ook niet veel zin meer.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

maandag 18 oktober 2010 13:30

Acties:
  • Tharulerz
  • Registratie: April 2009
  • Laatst online: 10-04 05:16

Tharulerz

Ik moet zeggen dat ik het script zelf gebruik met IDs en een SQL tabel met filenames erin, ik zie het security probleem dan niet zo direct?

maandag 18 oktober 2010 13:45

Acties:
  • MueR
  • Registratie: Januari 2004
  • Laatst online: 12:23

MueR

Admin Devschuur® & Discord

is niet lief

Tharulerz schreef op maandag 18 oktober 2010 @ 13:30:
Ik moet zeggen dat ik het script zelf gebruik met IDs en een SQL tabel met filenames erin, ik zie het security probleem dan niet zo direct?
Dat is een compleet andere setup. Dan heb je een whitelist van bestanden die opgevraagd mag worden. Het stuk script wat jij hierboven post is gewoon een download methode voor een willekeurig bestand (wat overigens een stuk korter kan). Als je vervolgens gewoon download.php?file=foo.doc laat downloaden, is het nogal makkelijk om daarmee te gaan vissen naar download.php?file=../../config.php, en ineens heb ik je database wachtwoord.

Anyone who gets in between me and my morning coffee should be insecure.

maandag 18 oktober 2010 13:47

Acties:
  • Tharulerz
  • Registratie: April 2009
  • Laatst online: 10-04 05:16

Tharulerz

Daar geef ik je volkomen gelijk in. Maar aangezien OP ook niet zoveel moeite in zijn openingspost had gestoken, had ik ook niet zoveel zin om veel tijd in de mijne te steken.

Mijn excuses!

maandag 18 oktober 2010 13:58

Acties:
  • moozzuzz
  • Registratie: Januari 2005
  • Niet online

moozzuzz

Indien de TS toch met de PHP oplossing verder wilt, zal hij op z'n minst de .. uit het filepath moeten halen en best ook prependen (ik noem dat in mijn eigen brabbeltaal sandboxen :-)

PHP:
1
2

/* pseudocode */
$filepath = './geheimemap/'.str_replace('..', '', trim( $filepath ));

maandag 18 oktober 2010 14:15

Acties:

Verwijderd

Topicstarter
De meesten hebben een punt wanneer ze zeggen dat dit niet de meest ideale oplossing is. Ik moet daar echter wel iets aan toevoegen.

1. Ik ga van deze oplossing af door de map te verplaatsen en met een eigen inlogsysteem te werken. Dit is een tijdelijke pleister.

2. Het script zoals gepost (ik gebruik overigens fpassthru) is wél beveiligd.
- Er wordt gekeken naar de inlog zodat uiteraard alleen de nieuwe users (of admins) toegang hebben.
- Er wordt gekeken naar het IP, de bestanden mogen alleen vanaf één werkplek geopend worden.
- Alleen .pdf bestanden worden uitgelezen. Er wordt uitgebreid gecontroleerd of het wel écht een pdf-bestand is.
- Alleen .pdf bestanden mogen worden gedownload.
- Voor de zekerheid is er een array toegevoegd van bestanden die absoluut niet benaderd mogen worden. Zowel extensie, bestandstype en (delen van de) bestandsnaam.
- Filepath wordt inderdaad gefilterd.

3. De gebruikers zijn bekend. Het zijn allen complete computer nitwits, echter is het geen ramp wanneer zij de adminfolder weten in te komen. Ze zouden net zo goed in de pauze achter de computer van een admin kunnen kruipen.


Tharulerz > Ik vroeg ook niet naar een script en al helemaal niet naar de veiligheidsgebreken daar in. Ik ga er op GOT, net als ieder ander, van uit dat ik geen kant en klare oplossingen in mijn schoot geworpen krijg maar simpelweg in de juiste hoek geduwd wordt. Mij in eerste instantie kwalijk nemen dat ik voor zoiets simpels niet Google en vervolgens bijna verwijten dat ik niet om een compleet script vraag vind ik dan een beetje vreemd.

[ Voor 16% gewijzigd door Verwijderd op 18-10-2010 14:34 ]

maandag 18 oktober 2010 14:29

Acties:
  • RetroTycoon
  • Registratie: Juli 2008
  • Laatst online: 29-11 19:22

RetroTycoon

Verwijderd schreef op maandag 18 oktober 2010 @ 14:15:
3. De gebruikers zijn bekend. Het zijn allen complete computer nitwits, echter is het geen ramp wanneer zij de adminfolder weten in te komen. Ze zouden net zo goed in de pauze achter de computer van een admin kunnen kruipen.
Als iemand hun account gebruikt - omdat ze niet weten hoe uit te loggen - dan is dit punt niet meer geldig natuurlijk ;)

maandag 18 oktober 2010 14:35

Acties:

Verwijderd

Topicstarter
RetroTycoon schreef op maandag 18 oktober 2010 @ 14:29:
[...]

Als iemand hun account gebruikt - omdat ze niet weten hoe uit te loggen - dan is dit punt niet meer geldig natuurlijk ;)
Klopt, maar het is ook om te benadrukken dat men elkaar wel een beetje kan vertrouwen maar onderling simpelweg de taken heeft verdeeld.

maandag 18 oktober 2010 14:46

Acties:
  • Tharulerz
  • Registratie: April 2009
  • Laatst online: 10-04 05:16

Tharulerz

Verwijderd schreef op maandag 18 oktober 2010 @ 14:15:

Tharulerz > Ik vroeg ook niet naar een script en al helemaal niet naar de veiligheidsgebreken daar in. Ik ga er op GOT, net als ieder ander, van uit dat ik geen kant en klare oplossingen in mijn schoot geworpen krijg maar simpelweg in de juiste hoek geduwd wordt. Mij in eerste instantie kwalijk nemen dat ik voor zoiets simpels niet Google en vervolgens bijna verwijten dat ik niet om een compleet script vraag vind ik dan een beetje vreemd.
Dan is mijn opzet toch perfect geslaagd?

Ik heb je met mijn script in de juiste richting geduwd, en de security en andere measures kon je dan zelf wel nemen. Het waren anderen die je wezen op de security issues, en ik verwijt je helemaal niets...

maandag 18 oktober 2010 14:49

Acties:
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Can I get uhm...

Tharulerz schreef op maandag 18 oktober 2010 @ 14:46:
[...]


Dan is mijn opzet toch perfect geslaagd?

Ik heb je met mijn script in de juiste richting geduwd, en de security en andere measures kon je dan zelf wel nemen. Het waren anderen die je wezen op de security issues, en ik verwijt je helemaal niets...
Als dat je insteek was heb je een in mijn ogen onaanvaardbare aanname gedaan, namelijk dat de topicstarter op zoek was naar ideeën, en niet naar code. Ideeën uitwisselen is uitstekend, php-code uitwisselen is op z'n zachtst gezegd minder fijn. Sterker nog, de meeste php-code die op internet rondzwerft had nooit geschreven mogen worden.

En dat je de topicstarter hoog inschat is (no offense naar de TS) tot daar aan toe. Wat nu als een willekeurige Google'er op "php bestand downloaden" langskomt in dit topic en die code in ongewijzigde vorm in gaat zetten op z'n site?

[ Voor 5% gewijzigd door CodeCaster op 18-10-2010 14:50 ]

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

maandag 18 oktober 2010 14:57

Acties:
  • Flowmo
  • Registratie: November 2002
  • Laatst online: 24-11 10:37

Flowmo

CodeCaster schreef op maandag 18 oktober 2010 @ 14:49:
[...]

Als dat je insteek was heb je een in mijn ogen onaanvaardbare aanname gedaan, namelijk dat de topicstarter op zoek was naar ideeën, en niet naar code. Ideeën uitwisselen is uitstekend, php-code uitwisselen is op z'n zachtst gezegd minder fijn. Sterker nog, de meeste php-code die op internet rondzwerft had nooit geschreven mogen worden.

En dat je de topicstarter hoog inschat is (no offense naar de TS) tot daar aan toe. Wat nu als een willekeurige Google'er op "php bestand downloaden" langskomt in dit topic en die code in ongewijzigde vorm in gaat zetten op z'n site?
Is dat dan de fout van de gebruiker die de code post? Of de fout van de persoon die de code in deze vorm gebruikt?

maandag 18 oktober 2010 15:00

Acties:
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Can I get uhm...

Van de poster.

Als je zegt "je zou met PHP het bestand kunnen inlezen" weet TS toch genoeg? Er staat nu een stuk code geponeerd als ware het dé oplossing voor het kunnen inlezen van bestanden in PHP en versturen via HTTP. Als je de beveiliging en implementatie van dit stukje code afdoende wil indekken heb je nog een A4'tje aan commentaar en documentatie nodig, terwijl nu iedere nitwit het kan copypasten naar z'n vanaf dan gegarandeerd onveilige site.

Je kan het de onwetende niet kwalijk nemen dat hij vergif neemt als het als gebak wordt voorgeschoteld.

[ Voor 16% gewijzigd door CodeCaster op 18-10-2010 15:04 ]

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

maandag 18 oktober 2010 15:01

Acties:

Verwijderd

Topicstarter
Tharulerz schreef op maandag 18 oktober 2010 @ 14:46:
[...]


Dan is mijn opzet toch perfect geslaagd?

Ik heb je met mijn script in de juiste richting geduwd, en de security en andere measures kon je dan zelf wel nemen. Het waren anderen die je wezen op de security issues, en ik verwijt je helemaal niets...
Okay, dat gevoel kreeg ik. Excuses. Zoals ik al eerder schreef ben ik je dankbaar voor de oplossing!

CodeCaster > Ben het met Flowmo eens wat betreft jouw laatste alinea. Begrijp wel wat je bedoeld overigens hoor.

[ Voor 3% gewijzigd door Verwijderd op 18-10-2010 15:03 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq