1. Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.
    Information ausblenden

XF2.0 Image Hotlinks verhindern

Dieses Thema im Forum "Fehler, Fragen und Antworten" wurde erstellt von shining, 30. Apr. 2020.

  1. shining

    shining Aktives Mitglied Lizenzinhaber

    Hallo,

    ich bin eben durch Zufall darüber gestolpert, dass in einem Blog Bilder eingebunden sind, welche in unserem Forum im NICHT öffentlichen Bereich gepostet wurden.
    Und nun frage ich mich wie das möglich ist bzw wie ich das verhindern kann.

    Denn klickt man auf das Bild um es sich im Browser separat anzuschauen, kommt richtigerweise: Sie können den Inhalt nicht sehen. Bitte einloggen blabla

    Aber in dem Blogartikel ist das Foto definitiv via direktlink zu dem jpg eingebunden und SICHTBAR.

    Ist das ein Bug oder so gewollt?
     
  2. nocte

    nocte Aktives Mitglied Lizenzinhaber

    Nur das Thumbnail vielleicht? Da wird der vollständige Pfad dem Benutzer angezeigt. Für die "full" Version wird der Attachment Controller zwischengeschaltet und der liefert das Bild nur aus, wenn die Rechte passen.

    Wenn jemand allerdings den Link zur Graphikdatei kennt, kann er es auch direkt verlinken und es findet keine Prüfung auf Benutzerrechte statt. Nur sind die Pfade seitens XF bewusst kryptisch gehalten, damit man sie nicht so leicht erraten kann.
     
  3. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Kann man da nicht was auf htacces Ebene oder besser machen bzw. ist da echt nichts gemacht? Ich mein, man könnte es dem "Dieb" etwas erschweren, und den bandbreiten-Klau reduzieren...
     
  4. nocte

    nocte Aktives Mitglied Lizenzinhaber

    sicher: den Referer abfragen und blocken, wenn es sich um eine externe URL handelt. Gibt 1.000e Tutorials dazu, z.B. Smarter Way To Prevent Image Hotlinking with .htaccess - Hongkiat

    Wichtig ist nur, dass man auch User ohne Referer erlaubt (nicht jeder sendet einen mit).

    Das ganze gehört dann in den Ordner /internal_data/attachments/ oder eventuell direkt in den /internal_data/ Ordner.
     
    otto gefällt das.
  5. Hoffi

    Hoffi !important Lizenzinhaber

    Am besten internal_data ausserhalb des Webroots lagern. Oder, wenn man nginx nutzt, den Ordner auf Internal setzen.
     
    otto, Tealk und McAtze gefällt das.
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden