Wie sicher sind eigentlich Gruppen (ACL)

**Joomla-Hilfe** · 13.08.2010 18:31

Zitat von Ria

Durch was dann?

Jedenfalls nicht durch Joomla bzw. PHP. PHP kann nur die Daten absichern, die es selbst ausliefert. Ein Dateizugriff auf Dateien auf dem Webserver geht aber komplett an PHP vorbei. Bilder, PDFs und Ähnliches liefert der Webserver einfach so aus, ohne PHP anzuwerfen. Ein Schutz dieser Dateien kann also nur vom Webserver kommen, nicht von Joomla/PHP.

Oder anders gefragt, könntest Du den Satz bitte so erläutern, dass ich (sorry), den mal so richtig verstehe. Denn wenn ich, sagen wir mal, eine Gruppe für "Spezial-Mitglieder" machen würde, dann ergibt das doch nur einen wirklichen Sinn, wenn der Rest der Welt da keinen Einblick bekommt?

Das gilt für alle Inhalte, die Joomla selbst zusammenstellt. Um damit auch Dateien abzusichern, dürfen sie nicht innerhalb des Webspace liegen, sondern müssen außerhalb liegen und von PHP als Stream ausgeliefert werden, wie es z.B. Remository macht.

**Joomla-Hilfe** · 13.08.2010 18:40

Zitat von Helrunar

Mal eine blöde Gegenfrage: Hast Du es schon geschafft als Registrierter in J1.5 auf Inhalte für Spezial zuzugreifen?

Ich habe überhaupt kein Problem, auf in Spezial-Artikeln verlinkte Bilder und Dokumente zuzugreifen, wenn ich irgendwie an den Dateinamen und -pfad komme, notfalls durch wildes Ausprobieren. Dabei ist ein ACL genau gar kein Schutz.

**Helrunar** · 13.08.2010 19:14

Zitat von Joomla-Hilfe

Ich habe überhaupt kein Problem, auf in Spezial-Artikeln verlinkte Bilder und Dokumente zuzugreifen, wenn ich irgendwie an den Dateinamen und -pfad komme, notfalls durch wildes Ausprobieren. Dabei ist ein ACL genau gar kein Schutz.

Ok, ungünstig ausgedrückt von mir, denn ich gehe natürlich davon aus, das eine entsprechende Erweiterung wie z.B. Remository verwendet wird.

**Ria** · 13.08.2010 20:19

Hallo @ All,

Ich habe überhaupt kein Problem, auf in Spezial-Artikeln verlinkte Bilder und Dokumente zuzugreifen, wenn ich irgendwie an den Dateinamen und -pfad komme, notfalls durch wildes Ausprobieren. Dabei ist ein ACL genau gar kein Schutz.

Grundsätzlich sind aber ACL-Erweiterungen für J1.5 nach meiner Erfahrung sicher (GMAccess, NoixACL) - und das wird bei der in J1.6 integrierten nicht anders sein.

kann nach dem heutigen Stand der Technik aber als ausreichend sicher angesehen werden.

So nun habe ich 2 entgegen sprechende Aussagen.

Ich glaube jedoch die Erweiterung Remository wird es wohl nicht aus Spaßes wegen geben. Dann ist dieser ganze Hipe mit endlich die ACL ja nur eine "Spielerei", die nur dem stink normalen DAU-User verhindern soll wo reinzusehen.

Habe ich das jetzt richtig verstanden?

Gruss Ria

**Helrunar** · 13.08.2010 20:24

Du musst unterscheiden. Das eine sind die Artikel, das andere die darin verlinkten Bilder und Anhänge. Liegen die Anhänge z.B. in images/stories oder in media, so kann natürlich, wenn keine entsprechenden Schutzmechanismen eingebaut sind, jeder per Url darauf zugreifen. Deswegen gehen einige Erweiterungen und Systeme den Weg, solche Dateien außerhalb des Webroots zu speichern.

**Joomla-Hilfe** · 13.08.2010 20:36

Nein, du hast es nicht verstanden, aber alle Erklärungen bringen nichts, wenn schon das rudimentärste Grundwissen über die Funktion eines Webservers fehlt.

**Ria** · 13.08.2010 21:07

Hallo,

ich habe nur einen offline Webserver um meine Site ein wenig zu testen. Ich will kein Hoster werden und auch keinen "eigenen" Server betreiben, also keine Sachen machen, von denen ich, richtig, kaum Ahnung habe und behaupte dies ja nicht.

Und wenn ich alles wüßte bräuchte ich ja hier auch gar nicht fragen. Ich bin mehr Design mäßig ausgerichtet und für den Webserver gibt es Dienstleister, die dies beruflich, professionell machen.

Das eine sind die Artikel, das andere die darin verlinkten Bilder und Anhänge.

Jetzt jetzt will ich verstanden haben: Artikel sind sicher, nur Bilder und Dateianhänge nicht(z.B. pdf)?

Gruss Ria

PS. natürlich bin ich gerne bereit genau zu dem Thema zu lesen, wenn ich denn wüßte nach was ich eingegrenzt zu suchen habe, finde nämlich nichts.

**Joomla-Hilfe** · 13.08.2010 21:44

Zitat von Ria

Jetzt jetzt will ich verstanden haben: Artikel sind sicher, nur Bilder und Dateianhänge nicht(z.B. pdf)?

Wenn sie herkömmlich verlinkt werden, sind sie nicht sicher. Man kann sie aber außerhalb des Webspace ablegen und mit PHP als Stream ausgeben, dann sind sie genau so gesichert wie alle anderen Inhalte auch. Das erfordert allerdings eine zusätzliche Programmierung.

**Ria** · 13.08.2010 22:05

Hallo,

Das erfordert allerdings eine zusätzliche Programmierung.

vielleicht so zu verstehen:

oder reicht vielleicht eine "Erweiterung" wie Docman oder Remository
und dann am besten den Absoluten Pfad zum Dokumenten Ordner so einstallen, das er außerhalb des Web root liegt. Dann kann man per http auch nicht direkt an die Daten rann, selbst wenn man den Dateinamen kennt.

So ungefähr?

Wo finde ich da mehr Info? Den Pfad auf eine Subdomain reicht dann wohl nicht?

Gruss Ria

**Joomla-Hilfe** · 13.08.2010 22:12

Zitat von Ria

oder reicht vielleicht eine "Erweiterung" wie Docman oder Remository
und dann am besten den Absoluten Pfad zum Dokumenten Ordner so einstallen, das er außerhalb des Web root liegt. Dann kann man per http auch nicht direkt an die Daten rann, selbst wenn man den Dateinamen kennt.

So ungefähr?

Ja, richtig.

Den Pfad auf eine Subdomain reicht dann wohl nicht?

Eine Subdomain kann nicht außerhalb des Webroots liegen.

Thema: Wie sicher sind eigentlich Gruppen (ACL)

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Lesezeichen

Lesezeichen

Berechtigungen