• Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.

XF2.0 Image Hotlinks verhindern

shining

Bekanntes Mitglied
Lizenzinhaber
Registriert
31. Aug. 2018
Beiträge
202
Punkte
83
XF Version
  1. 2.0.5
PHP-Version
7.2
Hallo,

ich bin eben durch Zufall darüber gestolpert, dass in einem Blog Bilder eingebunden sind, welche in unserem Forum im NICHT öffentlichen Bereich gepostet wurden.
Und nun frage ich mich wie das möglich ist bzw wie ich das verhindern kann.

Denn klickt man auf das Bild um es sich im Browser separat anzuschauen, kommt richtigerweise: Sie können den Inhalt nicht sehen. Bitte einloggen blabla

Aber in dem Blogartikel ist das Foto definitiv via direktlink zu dem jpg eingebunden und SICHTBAR.

Ist das ein Bug oder so gewollt?
 
Aber in dem Blogartikel ist das Foto definitiv via direktlink zu dem jpg eingebunden und SICHTBAR.
Nur das Thumbnail vielleicht? Da wird der vollständige Pfad dem Benutzer angezeigt. Für die "full" Version wird der Attachment Controller zwischengeschaltet und der liefert das Bild nur aus, wenn die Rechte passen.

Wenn jemand allerdings den Link zur Graphikdatei kennt, kann er es auch direkt verlinken und es findet keine Prüfung auf Benutzerrechte statt. Nur sind die Pfade seitens XF bewusst kryptisch gehalten, damit man sie nicht so leicht erraten kann.
 
Kann man da nicht was auf htacces Ebene oder besser machen bzw. ist da echt nichts gemacht? Ich mein, man könnte es dem "Dieb" etwas erschweren, und den bandbreiten-Klau reduzieren...
 
Am besten internal_data ausserhalb des Webroots lagern. Oder, wenn man nginx nutzt, den Ordner auf Internal setzen.
 
Zurück
Oben