Proteggere file caricati riservati a utenti loggati

[i_am_antipop]

Ciao,

ho un sito con area di admin (cms) che permette i caricare news e documenti riservati, visibile solo agli utenti registrati/loggati.

Il path dei file viene salvato nel DB ed il file viene caricato in una cartella www.miosito.it/documenti_riservati/

Sul sito, l'utente loggato vede le news ed i link ai documenti riservati.

Se non è loggato, non li vede.

Fin qui tutto bene.



Problema: Se un utente NON registrato digita l'indirizzo completo del file, lo vede lo stesso, anche se "non dovrebbe"!!!

Es: www.miosito.it/documenti_riservati/file.pdf



Come posso risolvere?


grazie

[filippo.toso]

Per prima cosa, salva i file all'esterno della document root oppure proteggi la cartella con mod_auth.
Poi crea uno script che agisce da proxy: riceve il path del file da scaricare, verifica l'autenticazione dell'utente, invia il file al client settando correttamente gli header (es. content-type, etc.).

Per maggior sicurezza lo script proxy dovrebbe verificare accuratamente che il file richiesto risieda in una specifica cartalla (per evitare l'attraversamento di path e, ad esempio, il download degli script PHP).

[i_am_antipop]

Originariamente inviato da filippo.toso
Per prima cosa, salva i file all'esterno della document root oppure proteggi la cartella con mod_auth.
Poi crea uno script che agisce da proxy: riceve il path del file da scaricare, verifica l'autenticazione dell'utente, invia il file al client settando correttamente gli header (es. content-type, etc.).

Per maggior sicurezza lo script proxy dovrebbe verificare accuratamente che il file richiesto risieda in una specifica cartalla (per evitare l'attraversamento di path e, ad esempio, il download degli script PHP).

Grazie mille!!!

devo documentamri un po'...

[i_am_antipop]

Originariamente inviato da filippo.toso
Per prima cosa, salva i file all'esterno della document root oppure proteggi la cartella con mod_auth.
Poi crea uno script che agisce da proxy: riceve il path del file da scaricare, verifica l'autenticazione dell'utente, invia il file al client settando correttamente gli header (es. content-type, etc.).

Per maggior sicurezza lo script proxy dovrebbe verificare accuratamente che il file richiesto risieda in una specifica cartalla (per evitare l'attraversamento di path e, ad esempio, il download degli script PHP).

una domanda: ma per poter mettere i file fuori della root... bisogna avere pieno accesso al server?

Se ad esempio, l'hosting è di tipo base (aru.., reg...) è possibile farlo?

[king size slim]

in quel caso lo puoi fare lasciando la cartella all'interno della document root e proteggendola con mod_auth come ti ha giustamente suggerito filippo

[i_am_antipop]

Originariamente inviato da king size slim
in quel caso lo puoi fare lasciando la cartella all'interno della document root e proteggendola con mod_auth come ti ha giustamente suggerito filippo

Sapete indicarmi un Tutorial su come gestire la protezione di una cartella (dentro alla root) con mod_auth, in che modo da far agire PHP per far accedere solo gli utenti loggati?

Grazie


PS: ma mod_auth vale solo su Apache/Linux?

[i_am_antipop]

Che ne pensate del metodo indicato qui: thread