Sicherheit!? Sicherheit!?
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Sicherheit!?

Started by timer, August 18, 2010, 02:50:36 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

timer


Hi,

ich habe eine Galerie für privaten zwecke erstellt, was auch alles super geklappt hat. Nur musste ich jetzt festellen, das man einfach so ohne angemeldet zu sein Bilder aufrufen kann, wenn man nur den genauen Pfad kennt. Wodurch einer Suchmaschine ja alle Wege offen stehen.
Eine robots.txt habe ich schon angelegt, aber das ist ja auch keine 100%ige Sicherheit.

Gibt es keine Möglichkeit außer ein "globales" Passwort diese Bilder zu schützen? Ich finde diesen Weg nicht angenehm, da ich mich dann stets zweimal einloggen muss.

Gruß timer

Αndré

Keine Ahnung was ein globales Passwort ist. Entweder du schützt deine gesamte Galerie mit einem Passwort per .htaccess Datei (das meinst du wahrscheinlich), oder du überprüfst den Referer. Bei direktem Aufruf eines Bildes leitest du einfach auf deine Startseite um.

lamama

Wenn Du in CPG die Zugriffsrechte auf die Alben korrekt setzt, kommt auch keine Suchmaschine an die Bilder ran. Die kann nämlich nur vorhanden Pfaden zu konkreten URLs folgen und stochert normalerweise darüberhinaus nicht auf gut Glück auf dem Server rum.

Richtig ist: Wenn man die URL einer Bilddatei kennt, kann man sie auch unabhängig von Coppermine aufrufen. Das ist aber normal und kein Sicherheitsmangel.

Wenn Du das als solchen empfindest, gibt es drei Möglichkeiten:

1. Bilder, die man nicht veröffentlichen will, nicht veröffentlichen, jedenfalls nicht in so einem Fotoalbum auf einem öffentlichen Server.

2. Passwortschutz des Bildverzeichnisses (ich vermute, dass meinst Du mit 'globalem Passwort')

3. Mit ein paar htaccess/Apache-Tricks sicherstellen, dass eine Datei nur ausgeliefert wird, wenn der Referer stimmt, also über CPG aufgerufen wurde. Selbst das läßt sich aber theoretisch faken und umgehen. Alles eine Frage des Aufwandes.

timer

Jo, mit "globalen" meinte ich per .htaccess

hab mir das mal bei menalto angeschaut und da kommt man mit dem pfad nicht an die Bilder ran. Leider haben die noch keine gescheite Regestrierungsfunktion.

:( muss ich wohl darauf warten, das es dafür nen plugin gibt.

Danke für eure Hilfe.

lamama

Stimmt, Menalto macht das anders, die fahren da einen höheren Aufwand und verschleiern den tatsächlichen Speicherort der Datei. Dafür ist Menalto (meiner Erfahung nach) auch ein ziemlicher Ressourcenfresser, jedenfalls Gallery2.

Ich hab das bei CPG nie als einen Mangel empfunden: wer bei mir an die Thumbs ran darf, darf im Prinzip auch an die volle Auflösung ran, Suchmaschinen bleiben eh außen vor und wer tatsächlich den Aufwand treiben will, bildweise die URL vom Thumb zum Original umzubiegen...   ;)

taucher_0815

Ist eigentlich ganz einfach zu lösen:

in jedem Ordner, wo Bilder liegen, muss eine .htaccess-Datei rein.

Inhalt:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://DEINEDOMAIN.DE/ [NC]
RewriteCond %{HTTP_REFERER} !^http://WWW.DEINEDOMAIN.DE/ [NC]
RewriteRule [^/]+.(gif|jpg|png|zip|pdf|txt|mpg|mpeg|mov)$ http://www.DEINEDOMAIN.DE/ [R,L]


alles, was nicht mit dem refferer von deinedomain.de oder www.deinedomain.de kommt und versucht, auf Bilddateien oder sonstige Files direkt zuzugreifen, wird auf die Homepage geschickt.

Versuche mal, folgenden Link aufzurufen: http://www.sk-foto.info/albums/AmericanFootball/20100821_BerlinRebels/SK-20100821-0596.jpg

das wäre dann das hier: http://www.sk-foto.info/displayimage-179-26175-_Munich_Cowboys_vs_Berlin_Rebels_.html#top_display_media

Αndré

Quote from: taucher_0815 on September 22, 2010, 08:28:36 PM
alles, was nicht mit dem refferer von deinedomain.de oder www.deinedomain.de kommt und versucht, auf Bilddateien oder sonstige Files direkt zuzugreifen, wird auf die Homepage geschickt.
Lässt sich faken bzw. irgendwelche Pseudosicherheitstools unterdrücken den Referrer. Ist also nicht 100%ig "sicher" und könnte bei manchen Benutzern unangenehme Effekte haben.

taucher_0815

aber es erschwert den Bilderklau erheblich.
Man bedenke aber auch, dass jedes angezeigte Bild aus dem Browser sich im Cache befindet. Also ist ein Bilderklau nie ganz auszuschließen, solange man reines HTML verwendet.

Αndré

Stimmt, dafür muss man aber erstmal Zugriff auf das Bild gehabt haben ;)

taucher_0815

 ;D

Aber direktverlinken der Bilder hat ein Ende ;)

lamama

Es gibt auch Leute, die haben in ihren Browsern das Übermitteln der Refferrer ausgeschaltet oder eingeschränkt. Surf ich Dein Album mit Opera in meinen default-Einstellungen an, bekomme ich gar keine Bilder zu sehen, noch nicht mal als Thumbnail. Man kann content hysteria auch soweit übertreiben, dass die Nutzer irgendwann einfach ausbleiben. Die Knipser, die nebenan bei Flickr ihre Bilder in voller Auflösung und für lau und ggf. sogar CC hochladen, haben vll die weniger tollen Fotos, aber im Zweifelsfall schau ich dann da.

Du verwendest ja eh schon ziemlich fette Wasserzeichen bei eher bescheidener Bildauflösung - eine irgendwie sinnvolle Verwendung der Bilder macht damit ja sowieso keinen Sinn mehr, sogar zum 'rebloggen' sind die zu entstellt.

Wieviel Traffic erzeugt Deine Gallery, dass eine gewisse Anzahl direktverlinkter Bilder so einen Aufwand und Nebenwirkungen rechtfertigt?