Civer Posted August 20, 2007 Report Share Posted August 20, 2007 Schönen Abend allerseits, ich habe letztens einen neuen Shop für einen Bekannten gemacht. Er möchte nun aber auch Downloaddateien anbieten. Gesagt getan, ist ja nicht schwer. Alles richtig Konfiguriert, Daten hochgeladen, Attribute gesetzt. Testlauf gemacht -> Alles funktioniert Fehlerfrei Nun habe ich ein paar Testläufe gemacht, wobei mir aufgefallen ist, dass Kunden, die xt:commerce (oder darauf basierende Shopsysteme) kennen die Möglichkeit haben über "shopname/download/" die Daten auch ohne einen Kauf runterzuladen. Sie müssen nur irgendwie an den Dateinamen kommen und siehe da, es geht. Meiner Meinung nach, ist das eine nicht zu unterschätzende Sicherheitslücke; Jetzt frage ich mich, wie ich dies umgehen könnte und bin zu folgenden Ergebnissen gekommen, von denen ich aber nicht weiß ob sie was bringen oder wie ich sie umsetzen könnte. 1. Ordnername ändern Man lässt sich halt irgendwelche Nummerische Supernamen einfallen oder so was. Bloß wo kann ich den Ordnernamen ändern. Ich kann zwar ein bisschen PHP, weiß aber nicht wo ich da rumspielen müsste. 2. .htaccess Erkennt htaccess überhaupt ob die Datei nun manuell oder per Shopsystem aufgerufen wurde? Theoretisch nicht... Allerhöchstens per Kontrolle der Seite von der man kommt. 3. Habt ihr noch andere Vorschläge? Danke im Voraus Civer Link to comment Share on other sites More sharing options...
mzanier Posted August 20, 2007 Report Share Posted August 20, 2007 Erkennt htaccess überhaupt ob die Datei nun manuell oder per Shopsystem aufgerufen wurde? Theoretisch nicht... natürlich erkennt der server dies. kennen die Möglichkeit haben über "shopname/download/" die Daten auch ohne einen Kauf runterzuladen. nein haben sie nicht, die .htaccess verhindert einen direkten zugriff. Link to comment Share on other sites More sharing options...
Civer Posted August 20, 2007 Author Report Share Posted August 20, 2007 Gut, danke für die schnelle Antwort Gruß Civer Link to comment Share on other sites More sharing options...
Civer Posted August 20, 2007 Author Report Share Posted August 20, 2007 Sorry für den Doppelpost aber: Wie kann ich es nun genau in meiner HTaccess Datei einrichten, dass nur Anfragen die von der "Bestellung abgeschlossen" Seite oder der "Ihre Bestellungen" Seite aus kommen zugelassen werden? Gruß und Dankeschön Civer Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.