Allow from...

Apache, Lighttpd, nginx, Cherokee
magic77
Posts: 6
Joined: 2013-01-14 12:28

Allow from...

Post by magic77 » 2013-01-14 12:44

Hallo liebe Foren Gemeinde,
ich möchte phpBB an eine Domain "binden". Das heisst das Forum ist unter "forum.domain.com" gehostet
und soll nur unter "sub.domain.de" aufrufbar sein. Rufe ich die URL direkt auf, soll das Forum gesperrt sein.
Das Forum wird per iframe reingeladen. Als iframe src ist "forum.domain.com" angegeben.

Das folgende .htaccess Konstrukt geht schon mal soweit, bis auf eine kleine Tatsache das nach dem Login in phpBB
ein Page Reload stattfindet und dieser mit einem "forbidden" vom Server quittiert wird. Das selbe gilt auch für´s Logout.

SetEnvIf Referer sub\.domain\.de internal
SetEnvIf Referer forum\.domain\.com internal
<Files *>
order Deny,allow
Deny from all
Allow from env=internal
</Files>


Kann mir jemand vielleicht weiterhelfen.
Vielen Dank schon mal im voraus
Gruß
Marek

User avatar
Joe User
Project Manager
Project Manager
Posts: 11599
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Allow from...

Post by Joe User » 2013-01-17 21:55

Das liegt daran, dass phpBB3 bei diesen Redirects den IFrame verlässt und somit Deine Deny-Anweisung wie gewünscht zuschlägt.
Du kannst entweder phpBB3 patchen, oder Du überdenkst den IFrame-Mist und machst es richtig[tm].

Was genau soll der IFrame-Mist und die unzugängliche Subdomain bewirken? Vielleicht gibt es ja brauchbarere Lösungen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

magic77
Posts: 6
Joined: 2013-01-14 12:28

Re: Allow from...

Post by magic77 » 2013-01-17 22:03

Hi,
der iFrame ist notwendig, da das Backend in der Cloud liegt und das Forum von einem anderen Server nur "dazu" geladen wird.
Eine phpBB Installation innerhalb der Cloud war nicht drin.
Von daher soll phpBB geschütz von außen unzugänglich sein, und nur wenn Sich ein Benutzer im Backend (Cloud) einloggt, geladen werden.

Was meinst du denn mit richtig machen?


Gruß
Marek
Last edited by magic77 on 2013-01-17 22:04, edited 1 time in total.

magic77
Posts: 6
Joined: 2013-01-14 12:28

Re: Allow from...

Post by magic77 » 2013-01-17 23:11

Ok - findet leider keine .htaccess Lösung :-(
Habe dafür an die entsprechende Stelle im Template ein "window.location.href" eingebaut, und das funktioniert ganz gut.

Gruß
Marek

User avatar
Joe User
Project Manager
Project Manager
Posts: 11599
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Allow from...

Post by Joe User » 2013-01-17 23:43

OK, ich verstehe das Problem. Eine Lösung hast Du ja selbst gefunden, ich überlege die nächsten Tage mal, ob es nicht eine bessere Lösung gibt. IFrames werden nämlich gerne von Ad-Blockern oder Privacy-Extensions für diverse Browser blockiert und das ist für den User unschön.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

magic77
Posts: 6
Joined: 2013-01-14 12:28

Re: Allow from...

Post by magic77 » 2013-01-17 23:47

Hi,
danke für deine Antwort - guter Einwand mit den Blockern, habe ich so noch nicht bedacht :-)


Gruß
Marek
Last edited by magic77 on 2013-01-17 23:48, edited 1 time in total.

magic77
Posts: 6
Joined: 2013-01-14 12:28

Re: Allow from...

Post by magic77 » 2013-01-18 00:00

eine Frage dazu: Wäre das senden eines Headers von forum.domain.com ausreichend, um sich bei solchen Blockern zu legitimieren?

Code: Select all

header("X-Content-Security-Policy: default-src 'self' sub.domain.de; options inline-script eval-script; script-src 'self' sub.domain.de; style-src 'self' sub.domain.de");

User avatar
Joe User
Project Manager
Project Manager
Posts: 11599
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Allow from...

Post by Joe User » 2013-01-18 00:21

Auf jedenfall helfen die Header den Browsern, den Suchmaschinen und den Javascript-Bibliotheken (z.B. jQuery).

Theoretisch sollten die Header auch den Browser-Addons helfen, vorausgesetzt sie unterstützen diese Header.

Die Header müssen aber von beiden Domains gesetzt werden und sich selbst und auch gegenseitig erlauben.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

magic77
Posts: 6
Joined: 2013-01-14 12:28

Re: Allow from...

Post by magic77 » 2013-01-18 00:27

ok - werde das mal mit einbauen und schauen ob ich es irgendwie getestet bekomme.