Sicherheit!?

[timer]

Hi,

ich habe eine Galerie für privaten zwecke erstellt, was auch alles super geklappt hat. Nur musste ich jetzt festellen, das man einfach so ohne angemeldet zu sein Bilder aufrufen kann, wenn man nur den genauen Pfad kennt. Wodurch einer Suchmaschine ja alle Wege offen stehen.
Eine robots.txt habe ich schon angelegt, aber das ist ja auch keine 100%ige Sicherheit.

Gibt es keine Möglichkeit außer ein "globales" Passwort diese Bilder zu schützen? Ich finde diesen Weg nicht angenehm, da ich mich dann stets zweimal einloggen muss.

Gruß timer

[Αndré]

Keine Ahnung was ein globales Passwort ist. Entweder du schützt deine gesamte Galerie mit einem Passwort per .htaccess Datei (das meinst du wahrscheinlich), oder du überprüfst den Referer. Bei direktem Aufruf eines Bildes leitest du einfach auf deine Startseite um.

[lamama]

Wenn Du in CPG die Zugriffsrechte auf die Alben korrekt setzt, kommt auch keine Suchmaschine an die Bilder ran. Die kann nämlich nur vorhanden Pfaden zu konkreten URLs folgen und stochert normalerweise darüberhinaus nicht auf gut Glück auf dem Server rum.

Richtig ist: Wenn man die URL einer Bilddatei kennt, kann man sie auch unabhängig von Coppermine aufrufen. Das ist aber normal und kein Sicherheitsmangel.

Wenn Du das als solchen empfindest, gibt es drei Möglichkeiten:

1. Bilder, die man nicht veröffentlichen will, nicht veröffentlichen, jedenfalls nicht in so einem Fotoalbum auf einem öffentlichen Server.

2. Passwortschutz des Bildverzeichnisses (ich vermute, dass meinst Du mit 'globalem Passwort')

3. Mit ein paar htaccess/Apache-Tricks sicherstellen, dass eine Datei nur ausgeliefert wird, wenn der Referer stimmt, also über CPG aufgerufen wurde. Selbst das läßt sich aber theoretisch faken und umgehen. Alles eine Frage des Aufwandes.

[timer]

Jo, mit "globalen" meinte ich per .htaccess

hab mir das mal bei menalto angeschaut und da kommt man mit dem pfad nicht an die Bilder ran. Leider haben die noch keine gescheite Regestrierungsfunktion.

muss ich wohl darauf warten, das es dafür nen plugin gibt.

Danke für eure Hilfe.

[lamama]

Stimmt, Menalto macht das anders, die fahren da einen höheren Aufwand und verschleiern den tatsächlichen Speicherort der Datei. Dafür ist Menalto (meiner Erfahung nach) auch ein ziemlicher Ressourcenfresser, jedenfalls Gallery2.

Ich hab das bei CPG nie als einen Mangel empfunden: wer bei mir an die Thumbs ran darf, darf im Prinzip auch an die volle Auflösung ran, Suchmaschinen bleiben eh außen vor und wer tatsächlich den Aufwand treiben will, bildweise die URL vom Thumb zum Original umzubiegen...   

[taucher_0815]

Ist eigentlich ganz einfach zu lösen:

in jedem Ordner, wo Bilder liegen, muss eine .htaccess-Datei rein.

Inhalt:

Code Select Expand


RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://DEINEDOMAIN.DE/ [NC]
RewriteCond %{HTTP_REFERER} !^http://WWW.DEINEDOMAIN.DE/ [NC]
RewriteRule [^/]+.(gif|jpg|png|zip|pdf|txt|mpg|mpeg|mov)$ http://www.DEINEDOMAIN.DE/ [R,L]


alles, was nicht mit dem refferer von deinedomain.de oder www.deinedomain.de kommt und versucht, auf Bilddateien oder sonstige Files direkt zuzugreifen, wird auf die Homepage geschickt.

Versuche mal, folgenden Link aufzurufen: http://www.sk-foto.info/albums/AmericanFootball/20100821_BerlinRebels/SK-20100821-0596.jpg

das wäre dann das hier: http://www.sk-foto.info/displayimage-179-26175-_Munich_Cowboys_vs_Berlin_Rebels_.html#top_display_media

[Αndré]

alles, was nicht mit dem refferer von deinedomain.de oder www.deinedomain.de kommt und versucht, auf Bilddateien oder sonstige Files direkt zuzugreifen, wird auf die Homepage geschickt.

Lässt sich faken bzw. irgendwelche Pseudosicherheitstools unterdrücken den Referrer. Ist also nicht 100%ig "sicher" und könnte bei manchen Benutzern unangenehme Effekte haben.

[taucher_0815]

aber es erschwert den Bilderklau erheblich.
Man bedenke aber auch, dass jedes angezeigte Bild aus dem Browser sich im Cache befindet. Also ist ein Bilderklau nie ganz auszuschließen, solange man reines HTML verwendet.

[Αndré]

Stimmt, dafür muss man aber erstmal Zugriff auf das Bild gehabt haben

[taucher_0815]

 

Aber direktverlinken der Bilder hat ein Ende

[lamama]

Es gibt auch Leute, die haben in ihren Browsern das Übermitteln der Refferrer ausgeschaltet oder eingeschränkt. Surf ich Dein Album mit Opera in meinen default-Einstellungen an, bekomme ich gar keine Bilder zu sehen, noch nicht mal als Thumbnail. Man kann content hysteria auch soweit übertreiben, dass die Nutzer irgendwann einfach ausbleiben. Die Knipser, die nebenan bei Flickr ihre Bilder in voller Auflösung und für lau und ggf. sogar CC hochladen, haben vll die weniger tollen Fotos, aber im Zweifelsfall schau ich dann da.

Du verwendest ja eh schon ziemlich fette Wasserzeichen bei eher bescheidener Bildauflösung - eine irgendwie sinnvolle Verwendung der Bilder macht damit ja sowieso keinen Sinn mehr, sogar zum 'rebloggen' sind die zu entstellt.

Wieviel Traffic erzeugt Deine Gallery, dass eine gewisse Anzahl direktverlinkter Bilder so einen Aufwand und Nebenwirkungen rechtfertigt?