Mikä olis järkevin tapa pitää tiedostot nettisivulla turvallisesti, niin että käyttäjätunnuksilla vaan saisi ne auki?
.htaccessia en toisaalta pidä kauhean kätevänä vaikka turvallinen onki.
mutta toinen mikä on mieles pyöriny, niin lataus osottais linkin php tiedostoon. php-tiedostossa tarkistetaan onko oikeudet. Jos on niin saisko sen tiedoston jotenki includettua siihen? Miten?
Axuu kirjoitti:
.htaccessia en toisaalta pidä kauhean kätevänä vaikka turvallinen onki.
Basic authaus on kaukana turvallisuudesta, kaikki lähetetään plain textinä, myös salasanat. Digest onkin turvallisempi, mutta se ei ole tuettu kaikilla selaimilla.
Axuu kirjoitti:
mutta toinen mikä on mieles pyöriny, niin lataus osottais linkin php tiedostoon. php-tiedostossa tarkistetaan onko oikeudet. Jos on niin saisko sen tiedoston jotenki includettua siihen? Miten?
Näin olen itse kyseisen homman toteuttanut. Pieni viipale omasta pätkästäni:
<?php if (onkoOikeudet($userid)) { if (file_exists($file)) { // Lähetetään headerit header('Content-Type: '.$mime); header('Content-Disposition: filename="'.basename($file).'"'); header('Last-Modified: '.filemtime($file)); header('Content-Length: '.(string)(filesize($file))); // Odotetaan hetki, että selain kerkeää tehdä omat temppunsa headereilla sleep(0.2); // Ruvetaan pukkaamaan tiedosta $fp = fopen($file, 'rb'); while (!feof($fp)) { $buffer = fread($fp, 4096); echo $buffer; } // Suljetaan tiedosto fclose($fp); } else die("ei oo filee"); } else die("ei oo oikeuksia"); ?>
Tuo ei toimi tuollaisenaan, se on vain esimerkki miten tiedostolatauksen voi hoitaa PHP:n kautta.
Oikeuksien tarkastus riippuu hyvin paljon siitä miten aiot kyseisen sovelluksen toteuttaa.
koitan tota seuraavaksi filun lataus scriptiäsi.
Tietenkin minulla on ssl salaus sivul, niin eikös se tota perus .htaccessiin loggautumisen tee salatun?
Axuu kirjoitti:
Tietenkin minulla on ssl salaus sivul, niin eikös se tota perus .htaccessiin loggautumisen tee salatun?
Pikaisen Googletuksen jälkeen kuulemma siltikin lähetetään salasanat plain textinä.
kuullostaa oudolt jos se ei menis salauksen sisäl, mut anyway tein tiedoston latauksen sinun koodia pohjana käyttäen. Toimii :) kiitos
trilog kirjoitti:
Pikaisen Googletuksen jälkeen kuulemma siltikin lähetetään salasanat plain textinä.
Esimerkiksi RSA:n kanssa on kuitenkin paljon vähemmän merkitystä sillä, missä muodossa varsinainen data liikkuu, koska silloin "plain text" tarkoittaa RSA:lla salattua tekstiä, joka on ainakin minulle ilman salausavaimia kaikkea muuta kuin "plain". Jos pankitkin luottavat siihen, se saattaa jopa olla tarpeeksi turvallinen harrastelijan "salaisille" tiedostoille.
Metabolix kirjoitti:
trilog kirjoitti:
Pikaisen Googletuksen jälkeen kuulemma siltikin lähetetään salasanat plain textinä.
Esimerkiksi RSA:n kanssa on kuitenkin paljon vähemmän merkitystä sillä, missä muodossa varsinainen data liikkuu, koska silloin "plain text" tarkoittaa RSA:lla salattua tekstiä, joka on ainakin minulle ilman salausavaimia kaikkea muuta kuin "plain". Jos pankitkin luottavat siihen, se saattaa jopa olla tarpeeksi turvallinen harrastelijan "salaisille" tiedostoille.
Toki, mutta kysymyksessä onkin muodostetaanko salattu yhteys ennen kuin lähetetään käyttäjänimi ja salasana. Kuten esimerkiksi tästä threadista huomaa:
lainaus:
However, when watching the connection via Wireshark, I can see the username/password being sent plaintext - BEFORE the SSL handshake.
Apachen FAQ:han väittää, että liikenne salataan ennen tietojen lähetystä.
Pitäisi ihan itse testata, mutta valitettavasti ei ole SSL:llää tällä hetkellä konffittu serveriin.
trilog kirjoitti:
Pitäisi ihan itse testata, ...
Testasin, ei löytynyt salasanaa hexdumpista. Käytin testiin pikaisesti pystytettyä lighttpd:tä, itse luotua sertifikaattia ja Firefoxia. Dumpin sain kierrättämällä liikenteen netcatin läpi. Ilman SSL:ää salasana löytyi aivan normaalisti.
Mahtaako ongelmalla olla jotain tekemistä linkittämässäsi keskustelussa mainitun Rewrite-systeemin kanssa? En ole tuon sielunelämään tutustunut, mutta kun tuossa kerran yhteys otetaan ensin HTTP:n kautta, voisiko vaihto HTTPS:ään tapahtua liian myöhään?
Metabolix kirjoitti:
Mahtaako ongelmalla olla jotain tekemistä linkittämässäsi keskustelussa mainitun Rewrite-systeemin kanssa? En ole tuon sielunelämään tutustunut, mutta kun tuossa kerran yhteys otetaan ensin HTTP:n kautta, voisiko vaihto HTTPS:ään tapahtua liian myöhään?
Aivan, totta. Siitähän se todennäköisesti johtuukin; salasanaa ja käyttäjänimeä kysytään ennen ohjaamista salattuun yhteyteen.
Aihe on jo aika vanha, joten et voi enää vastata siihen.