[PHP] Plaatjes beveiligen....

dinsdag 18 maart 2003 10:33

Acties:

0 Henk 'm!

Who's your daddy! WHUZAAA

Topicstarter

Althans zo goed mogelijk?

Ik begin er langzamerhand beetje smerig ziek van te worden dat ik mijn content constant gelinkt zie op forums, vaak een directe link naar mijn plaatjes, bestanden, files etc.

Hoe kan ik dit enigszins proberen tegen te houden, of wat lastiger te maken?
Ik dacht eerst aan een soort proxy pagina die je dan forward naar de daadwerkelijke pagina, maar dan kunnen ze net zo goed dus weer naar die pagina linken, dus dat helpt ook een dreutel

Iemand suggesties?

Atl.

Athlon 64 3500+ || MSI Neo2 Platinum || 1GB PC3200 Corsair XLPRO 2-2-2-5@1T || Hitachi SATA 250GB@7200 8MB || WD Raptor 73GB@10000 8MB || AOpen GF 6800 GT 256MB || SB Audigy2 Platinum || Logitech Laser G5 || 19" Iiyama HM903DT || 1280@100Hz

dinsdag 18 maart 2003 10:39

Acties:

0 Henk 'm!

Super_ik

haklust!

draai je apache? dan kun je eens kijken naar .htaccess files, daarin kun je aangeven dat er niet gedieplinkt (

) mag worden.

8<------------------------------------------------------------------------------------
Als ik zo door ga haal ik m'n dood niet. | ik hou van goeie muziek

dinsdag 18 maart 2003 10:40

Acties:

0 Henk 'm!

oVRoM

Met .htaccess kun je daar best leuke dingen mee doen

Edit dit is die van mij:

code:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER}     !^http://([a-z0-9-]+\.)*christinaricci.info/ [NC]
RewriteCond %{HTTP_REFERER}     !^http://([a-z0-9-]+\.)*tweakers.net/ [NC]
RewriteRule /* http://www.christinaricci.info/sorry.png [L,R] 

  #    "403 Forbidden",
  ErrorDocument  403  http://www.christinaricci.info/403.ssf
  #    "404 Not Found",
  ErrorDocument  404  http://www.christinaricci.info/404.ssf
  #    "500 Internal Server Error",
  ErrorDocument  500  http://www.christinaricci.info/500.ssf

[ Voor 85% gewijzigd door oVRoM op 18-03-2003 10:41 ]

dinsdag 18 maart 2003 10:40

Acties:

0 Henk 'm!

SWfreak

Zorg dat je kijkt naar de referrer. Dit stuurt de webbrowser mee en bevat de vorig bekeken pagina. Als deze pagina niet op jouw site is, blokkeer je de transfer of je geeft een "dont-hotlink"-plaatje terug.

dinsdag 18 maart 2003 10:43

Acties:

0 Henk 'm!

Ashbjorn

Who's your daddy! WHUZAAA

Topicstarter

Allen bedankt voor uw reaktie!

Athlon 64 3500+ || MSI Neo2 Platinum || 1GB PC3200 Corsair XLPRO 2-2-2-5@1T || Hitachi SATA 250GB@7200 8MB || WD Raptor 73GB@10000 8MB || AOpen GF 6800 GT 256MB || SB Audigy2 Platinum || Logitech Laser G5 || 19" Iiyama HM903DT || 1280@100Hz

dinsdag 18 maart 2003 12:13

Acties:

0 Henk 'm!

ari3

SWfreak schreef op 18 March 2003 @ 10:40:
Zorg dat je kijkt naar de referrer. Dit stuurt de webbrowser mee en bevat de vorig bekeken pagina. Als deze pagina niet op jouw site is, blokkeer je de transfer of je geeft een "dont-hotlink"-plaatje terug.

Dit moet je niet doen. Veel mensen hebben de referer geanonimiseerd, zodat niet te zien is waar iemand vandaan komt. Is namelijk nogal een inbreuk op je privacy.

Je breekt de functionaliteit voor legitieme gebruikers daarmee.

"Kill one man, and you are a murderer. Kill millions of men, and you are a conqueror. Kill them all, and you are a god." -- Jean Rostand

dinsdag 18 maart 2003 12:15

Acties:

0 Henk 'm!

oVRoM

ari3 schreef op 18 maart 2003 @ 12:13:
[...]

Dit moet je niet doen. Veel mensen hebben de referer geanonimiseerd, zodat niet te zien is waar iemand vandaan komt. Is namelijk nogal een inbreuk op je privacy.

Je breekt de functionaliteit voor legitieme gebruikers daarmee.

Om die reden staat de .htaccess die ik gepost heb blank referers ook toe... Het is daardoor dus niet waterdicht (het copy-pasten van een URL in de adresbalk werkt ook) maar je voorkomt inderdaad dat mensen met een firewall die referers niet weergeeft je site niet kunnen zien.

dinsdag 18 maart 2003 12:42

Acties:

0 Henk 'm!

Bosmonster

*zucht*

ari3 schreef op 18 March 2003 @ 12:13:
[...]

Dit moet je niet doen. Veel mensen hebben de referer geanonimiseerd, zodat niet te zien is waar iemand vandaan komt. Is namelijk nogal een inbreuk op je privacy.

Je breekt de functionaliteit voor legitieme gebruikers daarmee.

Mensen die zo zielig zijn dat ze hun referrer blokkeren hebben pech als je het mij vraagt. Referrers zijn voor statistieken zeer waardevolle informatie, die uiteindelijk kan leiden tot verbeterde diensten voor gebruikers. Op een persoonlijk niveau is er met referrers niks interessants te doen.

Tis net als met het faken van UserAgent strings. Je kunt leuk doen alsof je IE draait, maar dan weet je zeker dat sites nooit rekening zullen houden met de browser die je werkelijk gebruikt, omdat die nergens naar voren komt in statistieken.

Ik zou dus eerder iedereen blocken die niet van je domein komt, dan rekening gaan houden met mensen die een alternatieve of geen referrer hebben (zijn niet altijd blanko, vaker iets alternatiefs opgegeven). Zo maak je gaten in je beveiliging voor een uitzonderingsgroep.

[ Voor 30% gewijzigd door Bosmonster op 18-03-2003 12:45 ]

dinsdag 18 maart 2003 13:07

Acties:

0 Henk 'm!

Verwijderd

oVRoM schreef op 18 March 2003 @ 10:40:
Met .htaccess kun je daar best leuke dingen mee doen
[knip]

dis een stukje van de mijne:

code:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://gathering.tweakers.net/.*$      [NC]
RewriteRule .*\.(jpg|jpeg|gif|png|bmp)$ - [R,NC]

RewriteCond %{HTTP_HOST} !^.+\.kingofodos\.com [NC]
#RewriteCond %{REQUEST_URI} !^/*/.*
RewriteRule ^(/~.+) http://kingofdos.com/$1 [R,L]

dinsdag 18 maart 2003 13:11

Acties:

0 Henk 'm!

ari3

Bosmonster schreef op 18 March 2003 @ 12:42:

[...]

Mensen die zo zielig zijn dat ze hun referrer blokkeren hebben pech als je het mij vraagt. Referrers zijn voor statistieken zeer waardevolle informatie, die uiteindelijk kan leiden tot verbeterde diensten voor gebruikers. Op een persoonlijk niveau is er met referrers niks interessants te doen.

Op persoonlijk nivea is wel degelijk informatie te achterhalen. Bij eBay bijvoorbeeld wordt de gebuiker en wachtwoord encrypted als GET parameters gestuurd. Dit komt dan als referer terecht in logbestanden en kan dus misbruikt worden.
De "verbeterde dienstverlening" komt in praktijk neer op het aanbieden van content a.d.v. een profiel, wat in werkelijkheid gewoon manipulatie is.

Ik zou dus eerder iedereen blocken die niet van je domein komt, dan rekening gaan houden met mensen die een alternatieve of geen referrer hebben (zijn niet altijd blanko, vaker iets alternatiefs opgegeven). Zo maak je gaten in je beveiliging voor een uitzonderingsgroep.

Een ander punt is dat je informatie vergaart zonder dat daar toestemming voor gegeven is. Als je niet wilt dat de content publiek toegankelijk is, moet je het maar afschermen met een login/wachtwoord.

"Kill one man, and you are a murderer. Kill millions of men, and you are a conqueror. Kill them all, and you are a god." -- Jean Rostand

dinsdag 18 maart 2003 13:36

Acties:

0 Henk 'm!

Crazy D

I think we should take a look.

ari3 schreef op 18 March 2003 @ 13:11:
Een ander punt is dat je informatie vergaart zonder dat daar toestemming voor gegeven is. Als je niet wilt dat de content publiek toegankelijk is, moet je het maar afschermen met een login/wachtwoord.

Er zit een verschil tussen niet willen dat mensen je content zien, of niet willen dat mensen plaatjes linken op andere sites (al is het maar vanwege het extra dataverkeer).

Exact expert nodig?

Onderwerpen