Download verlinken verhindern

Bash, Shell, PHP, Python, Perl, CGI
mastertec
Posts: 47
Joined: 2002-12-15 17:03
Location: *Rootserver*

Download verlinken verhindern

Post by mastertec »

Hallo Ihrs

Habe mal ein kurzes Problem , vieleicht kennt sich jemand aus . Ich habe jede Menge Dateien zum Download und möchte verhindern das diese auf anderen Seiten einfach nur verlinkt werden, also irgendwie so , das diese nur von meinem Server aus funktionieren sollen ?

Habe es mit einer .htaccess versucht - funktioniert aber irgendwie nicht ?

Code: Select all

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?meineurl.info/.*$ [NC]
RewriteRule .(mp3|wmv|mpg)$ - [F] 
Weiss jemand einen Tip

Danke im Vorraus
jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Download verlinken verhindern

Post by jtb »

genau wohl nicht in Scripting..

Wirklich sicher ist ein Referer-Check nicht. Außerdem sperrst du dann einige User aus..
gangsta
Posts: 25
Joined: 2003-12-18 17:57

Re: Download verlinken verhindern

Post by gangsta »

ich hoffe, du hast die htaccess-Fähigkeit angeschaltet im apachen. Du mußt auf jeden Fall

AllowOverride All

einstellen, damit .htaccess dateien überhaupt bearbeitet werden.
Funktionieren denn andere .htaccess-Dateien? schreib doch einfach mal eine .htaccess-Datei mit einer Passwort-Abfrage in das Verzeichnis und guck, ob dann eine Passwort-Abfrage kommt. Falls nicht, hast du htaccess noch nicht aktiviert.
Man beachte auch, dass man das AllowOverride an der richtigen Stelle in der httpd.conf setzt
darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Download verlinken verhindern

Post by darkspirit »

Der Check über den Referrer nutzt nur was gegen absolute Noobs und sperrt wie schon gesagt User aus.
Pack die Dateien an einen Ort außerhalb des Doc-Roots, verwende PHP-Skripte mit User-Authentifikation und stream die Daten an den Client (z.b. "readfile()").
torstenk
Posts: 42
Joined: 2003-03-29 16:03
Location: Leverkusen

Re: Download verlinken verhindern

Post by torstenk »

Schau mal hier, recht interessante Seite zu diesem Thema.

Dort gibt es auch ein Beispiel für htaccess das etwas von Deinem abweicht.

Code: Select all

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?trafficklau.de(/.*)?$ [NC]
RewriteRule .(gif|jpg|GIF|JPG)$ http://www.trafficklau.de/images/ersatz.gif [R,L]
Domainname und Dateierweiterungen sind natürlich anzugleichen.
darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Download verlinken verhindern

Post by darkspirit »

Sorry, wenn ich mich wiederhole, aber mod_rewrite ist nicht dafür da, Clients per Referrer-Check auszusperren. Es nutzt ohnehin nichts, z.B. bei wget kann man den Referrer mit einer einzigen kleinen Option faken.
s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Download verlinken verhindern

Post by s4fuser »

DarkSpirit wrote:Es nutzt ohnehin nichts, z.B. bei wget kann man den Referrer mit einer einzigen kleinen Option faken.
Ach. Und welcher Seitenbetreiber wird denn meine Downloads direkt verlinken, wenn seine Besucher den Referrer faken müssen?
darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Download verlinken verhindern

Post by darkspirit »

Spielt das eine Rolle? Wenn der intelligente Surfer merkt, dass er in einen Referrer-Check läuft, wird eben jener halt gefälscht. Wenn die Daten interessant sind, wird der Seitenbetreiber einen Hinweis anbringen, dass die Seite dementsprechend "geschützt" ist und damit hat es sich dann.
Das "Verhindern" der Direktverlinkung per mod_rewrite halte ich für Security by Obscurity, was bekanntermaßen nicht funktioniert.
s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Download verlinken verhindern

Post by s4fuser »

Das sehe ich anders.

Mit dieser Methode sollen nicht Besucher abgeschreckt werden, die Downloadtools einsetzen, sondern es sollen Websitebetreiber abgehalten werden, Downloads direkt zu verlinken.
Und dazu ist diese Methode in meinen Augen sehr gut geeignet. Der einzige Nachteil ist der, dass Besucher mit einem manipulierten Referrer evtl. ungewollt ausgesperrt werden. In den meisten Fällen kann man das aber vernachlässigen.
"Bisschen Verlust ist immer." :wink:

Deine Argumentation will mir aber nicht so richtig einleuchten.
darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Download verlinken verhindern

Post by darkspirit »

Was leuchtet da nicht ein?
Schutz = 0
Nutzen = Aussperren von Usern
Aber ich will euch von nichts abhalten.. :?
s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Download verlinken verhindern

Post by s4fuser »

Wir reden aneinander vorbei. Lassen wir es.
Vielleicht können die Leser dieses Threads ja erkennen, was wir meinen...
majortermi
Userprojekt
Userprojekt
Posts: 916
Joined: 2002-06-17 16:09

Re: Download verlinken verhindern

Post by majortermi »

Referrer-Check ist eine besch*** Idee.

Man kann die Files dann z.B. nicht mehr so einfach mit "wget" ziehen, weil man dazu manuell den Referrer übergeben muss, was ziemlich nervig ist.

Lösung: Download nur über ein Skript erlauben, Session-Id übergeben, Session auf der gewünschten Seite entsprechend initialisieren, dann kann nur noch auf diese Seite verlinkt werden.

Genau so machen das übrigens "professionelle" Download-Anbieter, die nicht wollen, dass man direkt auf die Datei verlinkt.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...
s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Download verlinken verhindern

Post by s4fuser »

*grmpf*
Jetzt muss ich doch nochmal was sagen.

Niemand hat hier gefragt, wie man einen unerwünschten Download verhindern kann.
Es ging lediglich darum, wie man andere Website-Betreiber davon abhalten kann, einen eigenen Download direkt zu verlinken.

Und das kann man sehr gut mit den Rewrite-Rules von mod_rewrite. Welcher halbwegs intelligente mitteleuropäische Website-Betreiber würde Downloads auf seiner Site verlinken, an denen über 90% seiner Besucher scheitern? Keiner.
Was interessiert es ihn, was seine Besucher könnten? Nichts.
Ihn interessiert, was das Gros seiner Besucher macht.
Wird er also Downloads auf seiner Site verlinken, die den Referrer checken? Nein.

Und die "professionellen" Downloadanbieter (sourceforge.net, zd.net) schützen ihr Downloadverzeichnis per Authentifikationskontrolle von Apache. Das aber nur deswegen, weil sie mit "ein bisschen Verlust" nicht leben können. Sie wollen halt ein Download-Angebot für alle bieten. Auch für die, die ihre Referrer-Angabe gewollt oder ungewollt manipulieren.
majortermi
Userprojekt
Userprojekt
Posts: 916
Joined: 2002-06-17 16:09

Re: Download verlinken verhindern

Post by majortermi »

s4fuser wrote: Und die "professionellen" Downloadanbieter (sourceforge.net, zd.net) schützen ihr Downloadverzeichnis per Authentifikationskontrolle von Apache. Das aber nur deswegen, weil sie mit "ein bisschen Verlust" nicht leben können. Sie wollen halt ein Download-Angebot für alle bieten. Auch für die, die ihre Referrer-Angabe gewollt oder ungewollt manipulieren.
1. SourceForge "schützt" überhaupt nichts.
2. Arbeitet kein mir bekannter Anbieter mit HTTP-Authentifizierung, die arbeiten meistens mit Sessions, da dies der effektivste und gleichzeitg benutzerfreundlichste Weg ist, "direkte" Links zu verhindern.

PS: Ein entsprechendes Skript ist schneller geschrieben als die Rewrite-Rule erstellt und getestet.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...
darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Download verlinken verhindern

Post by darkspirit »

s4fuser wrote:Sie wollen halt ein Download-Angebot für alle bieten. Auch für die, die ihre Referrer-Angabe gewollt oder ungewollt manipulieren.
Und genau so soll es auch sein, ansonsten sollte man eben einen FTP-Server einrichten, bei dem ausgewählte Benutzer Zugriff auf die Dateien haben.. alles andere ist für mich eine Vergewaltigung des Apache und bringt mehr Probleme als Nutzen.
s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Download verlinken verhindern

Post by s4fuser »

Ich fasse es nicht.

Ihr habt behauptet, ein Schutz mit mod_rewrite würde nichts bringen, weil man ihn umgehen kann. Ich habe diesen "Schutz" eingebaut, und seitdem verlinkt fast niemand mehr meine Dateien direkt. Warum bloß? Weil es nichts bringt?

Und dass der Schutz nicht perfekt ist, hat niemand bestritten. Ebensowenig, dass man als User ihn umgehen kann. Aber gegen böswillige Webmaster hilft er sehr gut. Und genau dagegen habt Ihr argumentiert.
Nun läuft die Argumentation plötzlich in Richtung anderer Möglichkeiten oder dass Ihr das so gar nicht gemeint habt.