script för login

Tråden skapades och har fått 10 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • Thailand
  • 2018-09-07 12:25

På min nya webbsida finns en loginruta kopplat till en databas. Varje sida har ett php-script som kollar att det finns en session innan man kan se sidan. MEN - det finns ju mappar med bilder, PDF och annat. En som har direktlänk dit, kan ju komma dit direkt och läsa de dokumenten. Hur stoppar man det?
Det måste finnas någonting att lägga i roten som tvingar alla requester att gå via login. Har Googlat men login är inget bra ord att Googla på, det finns tusentals som hänvisar till sina loginsidor.

  • Inte helt 100
  • Storbritannien
  • 2018-09-08 13:05
Ursprungligen av Stig R:

På min nya webbsida finns en loginruta kopplat till en databas. Varje sida har ett php-script som kollar att det finns en session innan man kan se sidan. MEN - det finns ju mappar med bilder, PDF och annat. En som har direktlänk dit, kan ju komma dit direkt och läsa de dokumenten. Hur stoppar man det?
Det måste finnas någonting att lägga i roten som tvingar alla requester att gå via login. Har Googlat men login är inget bra ord att Googla på, det finns tusentals som hänvisar till sina loginsidor.

Hur mycket kontroll har du över webbservern? Det bästa är nog att begränsa all tillgång till de mappar som du vill ha skyddade av en inloggning och använd X-sendfile för att låta webbservern skicka filerna:
https://stackoverflow.com/questions/3697748/f...

Ett annat sätt att stoppa det är att ha allt sparat i en databas och hämta därifrån och ge till användaren i form av blobbar. Men det första är att föredra.

Beror på vilken webbserver du kör hur du kan gå tillväga för att lösa det. Vet du vad du kör, Apache/Nginx eller något annat? Har du full kontroll över den så att du kan ändra konfigurationsfilerna?

  • Medlem
  • Thailand
  • 2018-09-11 02:03
Ursprungligen av Stig R:

På min nya webbsida finns en loginruta kopplat till en databas. Varje sida har ett php-script som kollar att det finns en session innan man kan se sidan. MEN - det finns ju mappar med bilder, PDF och annat. En som har direktlänk dit, kan ju komma dit direkt och läsa de dokumenten. Hur stoppar man det?
Det måste finnas någonting att lägga i roten som tvingar alla requester att gå via login. Har Googlat men login är inget bra ord att Googla på, det finns tusentals som hänvisar till sina loginsidor.

Tack för svar! Jag har praktiskt taget ingen kontroll över servern. Sidorna ligger på en domän hos one.com som också är mitt webbhotell. I kontrollpanelen finns några saker jag kan göra, men det som berör detta är att jag kan skapa .htaccess-filer. Verkar fungera, men ruskigt ful loginruta. Vad säger ni om det systemet?
Har cirka 100 användare som skall släppas in.

På Apache heter det Directory/Folder Listing, du har nog lyckats slå på det på något sätt.

Prata med supporten på one.com är mitt tips.

  • Medlem
  • Sollentuna
  • 2018-09-11 09:18
Ursprungligen av Stig R:

Tack för svar! Jag har praktiskt taget ingen kontroll över servern. Sidorna ligger på en domän hos one.com som också är mitt webbhotell. I kontrollpanelen finns några saker jag kan göra, men det som berör detta är att jag kan skapa .htaccess-filer. Verkar fungera, men ruskigt ful loginruta. Vad säger ni om det systemet?
Har cirka 100 användare som skall släppas in.

Har du köpt en tjänst med en "naken" server och bygger allt från scratch, eller har du köpt en färdig plattform (CMS) som heter WordPress, Joomla/Drupal eller något annat? I båda lägena så tror vi på 99.se att du kan ändra i varje php-fil via ett admin-gränssnitt som CMS erbjuder. Det gränssnittet är ofta skilt från kontrollpanelen som sköter (den virtuella) servern hos one.com.

  • Medlem
  • Thailand
  • 2018-09-13 12:03
Ursprungligen av frazze:

Har du köpt en tjänst med en "naken" server och bygger allt från scratch, eller har du köpt en färdig plattform (CMS) som heter WordPress, Joomla/Drupal eller något annat? I båda lägena så tror vi på 99.se att du kan ändra i varje php-fil via ett admin-gränssnitt som CMS erbjuder. Det gränssnittet är ofta skilt från kontrollpanelen som sköter (den virtuella) servern hos one.com.

Det finns olika alternativ, men jag använder "naken" server och skapar sajten i Dreamweaver 2017. Jag har full kontroll över de filer som ligger på webbservern, men mycket begränsat med själva servern.

  • Medlem
  • Thailand
  • 2018-09-13 12:06
Ursprungligen av carlsson:

På Apache heter det Directory/Folder Listing, du har nog lyckats slå på det på något sätt.

Prata med supporten på one.com är mitt tips.

Vad har jag lyckats slå på?
Jag menar att en utomstående som av en invigd får en länk typ https://mindomain.net/internt/pdf/hemligtdoku...
kommer åt det dokumentet utan login.
Om man har 200 med login så skall man inte vara blåögd och tro att det bara är de som är intresserade. Framför allt finns en stor grupp som haft login men slutat, de har ju kvar direktlänkar till de pdf-filer de är intresserade av.

Men med .httpaccess är det stopp för alla. Men ful loginruta.

  • Inte helt 100
  • Storbritannien
  • 2018-09-14 10:24
Ursprungligen av Stig R:

Vad har jag lyckats slå på?
Jag menar att en utomstående som av en invigd får en länk typ https://mindomain.net/internt/pdf/hemligtdoku...
kommer åt det dokumentet utan login.
Om man har 200 med login så skall man inte vara blåögd och tro att det bara är de som är intresserade. Framför allt finns en stor grupp som haft login men slutat, de har ju kvar direktlänkar till de pdf-filer de är intresserade av.

Men med .httpaccess är det stopp för alla. Men ful loginruta.

Vet du om one.com har mod_rewrite eller mod_auth_form påslagna (om de använder Apache)? Du får nog fråga supporten om det.

I så fall kanske du kan använda regler i .htaccess för att styra användaren dit du vill, se https://stackoverflow.com/questions/5747442/r... för exempel och tips.

  • Medlem
  • Thailand
  • 2018-09-15 05:03
Ursprungligen av suddgummi:

Vet du om one.com har mod_rewrite eller mod_auth_form påslagna (om de använder Apache)? Du får nog fråga supporten om det.

I så fall kanske du kan använda regler i .htaccess för att styra användaren dit du vill, se https://stackoverflow.com/questions/5747442/r... för exempel och tips.

Tack för tips! Med .htpaccess fungerar det fint. Det gåt inte att via direktlänk komma åt en fil med intern info.
Den fula loginrutan kanske går att fixa, det verkar finnas ett embryo i din länk, skall jobba vidare med det lite senare.
Lite förvånad att de system som skrivs om på webben bara klarar att hindra åtkomst av sidor, men tillåter åtkomst till filer - om man vet var de ligger på webbservern. Företagets hemligheter ligger väl aldrig utskrivna på en webbsida, de ligger väl snarare i en pdf eller xls?

  • Inte helt 100
  • Storbritannien
  • 2018-09-15 10:18
Ursprungligen av Stig R:

Tack för tips! Med .htpaccess fungerar det fint. Det gåt inte att via direktlänk komma åt en fil med intern info.
Den fula loginrutan kanske går att fixa, det verkar finnas ett embryo i din länk, skall jobba vidare med det lite senare.
Lite förvånad att de system som skrivs om på webben bara klarar att hindra åtkomst av sidor, men tillåter åtkomst till filer - om man vet var de ligger på webbservern. Företagets hemligheter ligger väl aldrig utskrivna på en webbsida, de ligger väl snarare i en pdf eller xls?

Man kan göra massa med htaccess beroende på vilka moduler som är aktiverade. Jag tror att det du specifikt vill stoppa är hotlinking alltså när ett anrop till en fil inte kommer från en länk på din sida (att det är fel HTTP_REFERER). På https://perishablepress.com/stupid-htaccess-t... finns det en massa tips på hur man kan begränsa och vidarebefordra en användare med hjälp av htaccess. Kan vara värt en läsning

1
Bevaka tråden