PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sichere Downloads


CrAnE
28.01.2005, 15:19:12
Hi,

gibt es eine möglichkeit seie Downloads wirklich gut vor "Linkklau" zu schützen??? Ich habe zwar schon über Reffer usw gelesen aber wennn ich ja nen phpscript habe der das prüft muss ich denjenigen ja wieder auf die datei wieterleiten... und dann kann man dem quellcode ja wieder den dateinamen entnehmen.... gibt es da keine bessere lösung???

tobitious
28.01.2005, 16:01:52
ich kenne jetzt nur anti-leech als eine methode. finden kannst du das unter http://www.anti-leech.com/

allerdings kann ich dir nicht sagen wie sicher das wirklich ist und ob das vertrauenswürdig ist weis ich auch nicht.

kann mir vorstellen das man einfach mit nem php script schauen kann ob der user ne berechtigung hat, dann den file ausserhalb des webroots laden und per header änderung zum download ausgeben.
ob das gut geht und ob das performant und elegant ist weis ich aber auchnicht.

ciao,

tobias

xabbuh
28.01.2005, 16:21:53
http://php-faq.de/q/q-datei-download.html

tobitious
28.01.2005, 16:28:27
war meine zweite idee wohl doch nicht so trivial wie ich vermutet hatte....

CrAnE
28.01.2005, 17:00:48
Super geil funst super und sieht auch zimlich sicher aus!!!

BIG THX

|Coding
28.01.2005, 17:44:02
Original geschrieben von CrAnE
Super geil funst super und sieht auch zimlich sicher aus!!!

BIG THX

nur sicher aussehen ist doch nicht alles. wie hast du es den jetzt gelöst, mit anti-leech?

CrAnE
28.01.2005, 18:30:58
Naja ganz genau will ich es nicht sagen... ^^ aber ich habe einen bestimmten wert der sich täglich ändert und im link mit gesendet wird! Und dieser wert wird vom downloadscipt gelsen! Wenn die werte nicht stimmen gibbet keinen DL! Also würde ein geklauter link max einen Tag klappen!

mfg Jan Ecker

FrANZz
28.01.2005, 18:47:13
das will ich sehen ;D
gib ma link zu deiner page, wo man was runterladen kann

CrAnE
28.01.2005, 18:51:14
gibbet noch nicht aber ein link sieht zb so aus:

http://www.world-j.de/download.php?FileID=50&ID=b95b65a5bc440b100847d04ff55129ca

FrANZz
28.01.2005, 19:02:07
ah lol. wie geil!
wie haste das jetzt gemacht mit welcher funktion?

diese @ http://php-faq.de/q/q-datei-download.html
?

CrAnE
28.01.2005, 19:14:38
Ja aber das ist ja nur um den download zu starten um ihn zu sichern habe ich eine eigene funktion geschireben ^^ das hat auch was mit dem Theard "Cronjob!" zu tun damit will ich es noch verbessern!

CrAnE
28.01.2005, 22:11:55
Hi,

Jetzt habe ich es nochmal anderes realisiert und dabei kann ich sagen wie ichs mache ^^.

Bei jedem Download link wird die FileID und eine ID mitgesendet! Ein Cronjob führt jeden Tag (bei belieben auch öfter) einen script aus der eine Zufallszahl errechnet und diesen dann md5 verschlüsselt! Dieser Wert wir in eine DB gespeicher. Dieser wert wird als ID mit dem Link übergeben! Die PHP Datei die den Download startet läd den wert aus der DB und vergleicht ihn mit dem Wert der mit dem Link übergeben wurde (den rest könnt ihr euch denken)! Wenn nun jemand den Link kopiert ist dieser nur solange gültig bis der Cronjob durchgefürht wurde!

mfg Crane

|Coding
29.01.2005, 05:12:49
boar eH! was ein aufwand für nen download... wenn du nicht willst, das man deine downloads verlinken kann, dann mach die ganze kagge mit sessions...

FrANZz
29.01.2005, 09:57:29
"den rest könnt ihr euch denken"

nein, kann ich nicht. Denn wie haste das gemacht, dass man noch nichtmal die größe der Datei mitkriegt, die man runterlädt?? O_o

ist das so wie es da steht oder wie? :
http://php-faq.de/q/q-datei-download.html

was macht das überhaupt???

xabbuh
29.01.2005, 11:35:11
Original geschrieben von FrANZz
ist das so wie es da steht oder wie? :
http://php-faq.de/q/q-datei-download.html

was macht das überhaupt???
Es werden bestimmte Header an den Browser gesendet, so dass der Browser "weiß", dass der Inhalt nicht angezeigt sondern zum Download angeboten werden soll.

CrAnE
29.01.2005, 12:00:36
Original geschrieben von FrANZz
"den rest könnt ihr euch denken"

nein, kann ich nicht. Denn wie haste das gemacht, dass man noch nichtmal die größe der Datei mitkriegt, die man runterlädt?? O_o

ist das so wie es da steht oder wie? :
http://php-faq.de/q/q-datei-download.html

was macht das überhaupt???

Naja wenn es stimmt startet der Download wenn nicht halt nich ^^

@ |Coding: Auch ne möglichkeit! So kann ich aber auch mal nen Link direkt nem freund geben zu ner Datei ohne das der die noch suchen muss... auch wenn der link nur nen halben tag gilt :D

xabbuh
29.01.2005, 12:04:00
Original geschrieben von CrAnE
Naja wenn es stimmt startet der Download wenn nicht halt nich ^^
Hast du trotzdem mal darüber nachgedacht, den Downloadschutz wie von |Coding erwähnt mit Sessions statt deinem System zu gewährleisten?

CrAnE
29.01.2005, 12:06:02
guck bitte den Beitrag vorher (editiert) :D

xabbuh
29.01.2005, 12:08:24
Original geschrieben von CrAnE
guck bitte den Beitrag vorher (editiert) :D
Das stimmt sicherlich. Aber wenn es ein Freund ist, kannst du ihm auch ganz einfach den direkten Link zur Datei geben und nicht zu dem Script, welches den Download erst anstößt.
Vorraussetzung dafür ist natürlich, dass die Dateien zum Download nicht außerhalb des Document Roots liegen.

CrAnE
29.01.2005, 12:10:47
Sicher... nur warscheinlich werden die Dateien wegen sicherheitsgründen außerhalb des roots liegen! Das mit den Sessions ist schon ne gute idee... aber ich bleibe bei meiner variante.. ^^

|Coding
29.01.2005, 15:00:55
Original geschrieben von xabbuh
Es werden bestimmte Header an den Browser gesendet, so dass der Browser "weiß", dass der Inhalt nicht angezeigt sondern zum Download angeboten werden soll.
bis auf die kleinigkeit, das der ein oder andere browser bissel probleme hat mir der interpretation der header, was ich perönlich zum kotzen finde. tausende verschiedene browser und jeder kann nur das was der andere nicht kann oder fast nicht kann. nur das problem meiner meinung ist, das die html/mime rcf's nicht wirklich konsequent definiert sind. jeder misst ist genormt so das einem manchmal hörner wachsen könnten, aber an wichtigen stellen ist mal wieder alles fehlerhaft oder unvollständig.


Original geschrieben von CrAnE
Sicher... nur warscheinlich werden die Dateien wegen sicherheitsgründen außerhalb des roots liegen! Das mit den Sessions ist schon ne gute idee... aber ich bleibe bei meiner variante.. ^^

ich finde nur, das der aufwand den du da betreibst, in keinster weise dem resultierenden nutzen gleich zustellen ist. warum einfach, wenns auch umständlich geht. völlig unnötig so ein aufwand, das bringt dir rein garnichts.

CrAnE
29.01.2005, 16:15:37
Achso nochen grund das ich keine session nutze: Es kann sein das der Downloadscript auf nem anderen server leigt als der scribt von dem verlikt wird... dann gibts probs mit den sessions ^^

außerdem hatte ich gerade zeit und wollte mal was neus ausprobieren :D

xabbuh
29.01.2005, 17:42:26
Original geschrieben von CrAnE
Achso nochen grund das ich keine session nutze: Es kann sein das der Downloadscript auf nem anderen server leigt als der scribt von dem verlikt wird... dann gibts probs mit den sessions ^^
Dann ist das Downloadscript aber auch wieder von überall her aufrufbar...

Original geschrieben von |Coding
bis auf die kleinigkeit, das der ein oder andere browser bissel probleme hat mir der interpretation der header, was ich perönlich zum kotzen finde. tausende verschiedene browser und jeder kann nur das was der andere nicht kann oder fast nicht kann. nur das problem meiner meinung ist, das die html/mime rcf's nicht wirklich konsequent definiert sind. jeder misst ist genormt so das einem manchmal hörner wachsen könnten, aber an wichtigen stellen ist mal wieder alles fehlerhaft oder unvollständig
Von den gängigsten Browsern wird es ja zum Glück vernünftig interpretiert.

CrAnE
31.01.2005, 16:05:10
Wiso ist das dann nicht von überall erreichbar???

|Coding
31.01.2005, 16:09:24
Original geschrieben von CrAnE
Wiso ist das dann nicht von überall erreichbar???

wer sagt denn das?

CrAnE
31.01.2005, 16:47:49
Sorry verguckt :D

Original geschrieben von xabbuh
Dann ist das Downloadscript aber auch wieder von überall her aufrufbar...


Wie meinst du das?

xabbuh
31.01.2005, 20:26:08
Du hast geschrieben
Achso nochen grund das ich keine session nutze: Es kann sein das der Downloadscript auf nem anderen server leigt als der scribt von dem verlikt wird... dann gibts probs mit den sessions ^^

Was natürlich bedeutet, dass ich den Link auch einfach direkt eingeben kann und bekomme so trotzdem die Datei. Aber genau das wolltest du doch ausschließen oder nicht?

CrAnE
31.01.2005, 20:46:42
Naja theoretisch schon nur der Link gilt ja nur einen halben Tag :P

xabbuh
31.01.2005, 21:32:24
Original geschrieben von CrAnE
Naja theoretisch schon nur der Link gilt ja nur einen halben Tag :P
Möglich wäre es trotzdem ;-) Und das Problem hättest du wiederum mit Sessions nicht.

CrAnE
01.02.2005, 06:41:36
Ja mir geht es ja nicht darum das mir jemand mal den link kopiert sondern das jemand dauerhaft nen link in ne HP einbaut! Das jeand nen link kopiert und nem freund gibt habe ich nix :P