Ist das eine Sicherheitslücke?

[bullseye]

Hallo,

ist es normal, dass man ALLE Dateien direkt anwählen kann, obwohl für einige z.B. der Download gesperrt ist?

Wenn ich den Quelltext von einem Bild, Video oder Flash angucke, dann kann ich den Pfad herauslesen, was eigentlich ganz normal ist:

Code: [Select]

                            <tr>
                              <td width="26%" colspan="2" align="left" valign="top" ><div align="center">
                                  <div align="center"> <!-- Template file for JPG Files -->
<img src="./data/media/14/bild.JPG" border="1" alt="Tuned Caddy" width="427" height="283" /><br />
</div>
                                </div></td>
                            </tr>
Allerdings kann ich jetzt auch trotz Downloadsperre die Datei über www.meinedomain.de/data/media/14/bild.JPG anwählen und so könnte man rein theoretisch einige größere Videos direkt verlinken und sehr viel traffic verursachen. Die Ordner habe ich alle per CHMOD auf 777 gestellt und eigentlich sollte das doch in Ordnung sein?

Ist das eine Sicherheitslücke? Wenn ja, wie kann man die schließen?


MfG
bullseye

[Guerillia]

Wozu 777 ? Es würde wohl auch 755 reichen..

Ansonsten eine .htaccess Datei ins data Verzeichnis

Code: [Select]

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://meine-domain.de/ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.meine-domain.de/ [NC]
RewriteRule [^/]+.(.*)$ http://www.meine-domain.de/bilder/accessdenied.gif [R,L]