Sicherheitslücke?!?

[Chicco]

Hi.

Habe soeben festgestellt, das jeder (also egal ob Mitglied, Gast oder Admin) mit Hilfe des Quelltextes, sich Bilder auch so anschauen kann, auf die er eigentlich keinen Zugriff hat!

Beispiel:
Es gibt eine Kategorie bei mir, auf die nur registrierte Mitglieder z.b. Zugriff haben, was die Details etc. angeht. Auch werden die Bilder bei Gästen unscharf und bei Mitgliedern scharf dargestellt.

Wenn nun jemand weiss, wie das Bild heisst (kann er ja anhand des Quelltextes herausfinden, wie das Thumbnail heisst, was gerade unscharf dargestellt wird) und dann den Pfad dort hin genau in der Adresssleiste vom browser angibt, das thumbnail durch MEDIA austauscht, wird das Bild normal geladen.

Kann ich sowas verhindern?!?!?!? Das z.b. auf das Verzeichnis 20 (Kategorie-ID) im Verzeichnis MEDIA nicht normal erreichbar ist sondern nur als eingeloggter? Irgendwie per htaccess oder sowas... Keine Ahnung....

Klar, mir ist bewusst, das Bilder usw. sowieso kopiert und mißbraucht werden können, egal was man dagegen macht. Aber das es so leicht wiederrum ist, finde ich etwas ....naja.....wisst schon!

[Helldeath]

dass man quelltext kannst du glaub ich nicht verhindern außer du machst es dass es schreibgeschützt ist. hab auch so iene methode erfunden um die bilder zu kopieren. Bei manchen seiten wenn man rechtsklick macht kommt so ein fehler teil von wegen ocopyright bei ... z.B. bei meienr gallery : klick ich mach rechtsklick drauf und ganz schnell enter und dann kommt wie gewohnt dieses kleine menü und dann kann ich es einfach copieren ^^

oder ich markiere es einfach und dann die tasten strg + c dann hab ich es auch kopiert ^^

[Chicco]

Ist klar, das der Quelltext nicht geschützt werden kann. Nicht ohne Zusätzliche Hilfmittel. Es gibt dafür wieder gewisse Tricks...

Aber das mit dem rechten Mausklick und Enter taste???? Der Fehler hast aber nur du auf deiner Seite...Auf meiner Seite wird weder im Firefox noch im Internet Explorer noch im Netscape die rechte Maustaste angezeigt. Dein Script muss wohl etwas fehlerhaft sein. In deinem Fal ist es ja sogar möglich ein Bild direkt herunterzuladen. Ohne Galerie. Bei dir wird das komplette Verzeichnis aufgelistet, wenn man "4images1.7.2/4images/details.php?image_id=1" bei deinem Link hintendran weglässt... 

Das mit dem markieren und STRG+C bringt auf meiner Seite auch nichts....Da würdest du auf meiner Seite etwas anderes kopieren. Aber nicht das Bild!

Einzige Möglichkeit: Bildschirmausdruck und später ausschneiden....Na ja,wer sich die Mühe immer machen will....

Meine Bilder selsbt sind mit einem digitalen Wasserzeichen versehen, welches sich auch nicht herausgeschnitten werden kann und ich es per ID im Internet zurückverfolgen kann, wenn es mal auf einer anderen Seite mißbraucht werden kann. Diese Funktion hat mich stolze $100,- gekostet und ist bis 500 Bilder lizenziert. Fragt nun bitte nicht warum, aber ich habe es einfach gekauft!

Nun denn. Egal. Das ganze löst aber nicht mein Problem mit dem direkten zugriff über den browser auf meine Bilder als Gast.

[kai]

Kann ich sowas verhindern?!?!?!? Das z.b. auf das Verzeichnis 20 (Kategorie-ID) im Verzeichnis MEDIA nicht normal erreichbar ist sondern nur als eingeloggter? Irgendwie per htaccess oder sowas... Keine Ahnung....

Ja, Infos zu "Pic security" findest Du im gleichnamigen Thread:
http://www.4homepages.de/forum/index.php?topic=6997.0

[trez]

schau mal hier, hab das bei anderen websites verwendet, ist ziemlich hilfreich, hab aber auch seine nachteile (queltext nicht mehr editirbar usw.)

http://www.designerwiz.com/ad-framer.htm?http&&&www.designerwiz.com/generator/encryptHTML1.htm

[Seanaja]

Hallo Chicco,

moechtest Du nicht mal genauer Erklaeren, was Du so alles gemacht hast, um Deine HP so sicher zu bekommen.

Mich wuerde es brennend interessieren und ich glaube andere auch.

Bei mir war es auch so, dass wenn die rechte Maustaste gedrueckt und gehalten wurde, man mit Enter die Meldung bestaetigt hat und nach loslassen der Maustaste das Menue kam mit Speichern unter.

Gruß
Seanaja

[Chicco]

Hi Seanaja.

Also ganz ehrlichgesagt möchte ich nicht alle meine Einrichtungen nun aufführen, da nicht nur andere 4images-betraiber dieses Forum lesen sondern auch so manch normaler User, der Bilder hauptsächlich sammelt. Verstehst du wie ich es meine?

Rechten Maustaste:
Bau in der header.html vor dem <body> dieses Srkipt ein (ist standardmäßig ja auch schon drin im 4images-Html.

Code: [Select]

<script language="JavaScript" type="text/javascript">

  function right(e) {
    if (navigator.appName == 'Netscape' && (e.which == 2 || e.which == 3)) {
      alert('HIER DEIN TEXT');
      return false;
    }
    else if (navigator.appName == 'Microsoft Internet Explorer' && (event.button==2 || event.button == 3)) {
      alert('HIER DEIN TEXT');
      return false;
    }
    return true;
  }
  document.onmousedown=right;
  if (document.layers) window.captureEvents(Event.MOUSEDOWN);
  window.onmousedown=right;
</script>
Dann musst du das ganze noch im <body..... > laden. Bau dazu in der bodyleiste diesen Befehl hinten dran:

Code: [Select]

oncontextmenu="return false" ondragstart="return false"
onselectstart="return false"
also so müsste dann dein <body>-Tag aussehen:
<body oncontextmenu="return false" ondragstart="return false"
onselectstart="return false" bgcolor="#000000">

Jetzt müsste das im Firefox sowie auch im Internetexplorer funktionieren bzw. eben nicht mehr gehen mit der rechten Maustaste....

Soweit das Prinzip verstanden?

[Seanaja]

Besten Dank!

Werde ich spaeter mal ausprobieren 

Gruß
Norbert

[Chicco]

A ha....Wieso hast nicht gleich per Mail danach gefragt, wenn mich schon parallel dazu angeschrieben hattest, Norbert :

[Seanaja]

Na ja, weil ich dachte, dass es auch noch andere Interessieren wuerde.

Hatte mir zu diesem Zeitpunkt noch keine Gedanken gemacht, dass es , wie Du schon geschrieben hast, nicht nur Nutzer sondern auch "Na JA" lesen.

Gruß
Seanaja

[Chicco]

Kein problem.

Nur was ich nicht verstehe, ist, das du einerseits die rechte Maustaste sperren willst bzw. sperrst um das Speichern unter zu unterbinden, aber andererseits veröffentlichst du pro Bild darunter den Link zum Thumbnail inkl. des Bildnamens....Tausche ich nun das "thumbnail" gegen "media" in diesem Pfad aus, habe ich das Bild auch so...Denn jeder, der hier Mitglied ist und/oder hier sich herumtreibt, weiss, dass das verzeichnis mit den Bildern MEDIA heisst und ansonsten alles gleich ist wie Thumbnail-Verzeichnis. Name des Bildes, name bzw. id der Kategorie usw...
Verstehst wie ich es meine? Würde daher an deiner Stelle das mit der URL unter dem Bild wieder entfernen oder das medai in ein anderen namen umbenenen bzw. setzen....

Ist nur ein Tipp und nicht böse gemeint nun oder so...Aber einerseits verschließt du einem (die rechte Maustaste) per skript die Möglichkeit zu speichern und andererseits wieder zeigst du ihm quasi wo er sich das Bild so holen kann.

Okay, per Quelltext kommt einer auch an den Namen des Bildes, aber da muss er schon etwas mehr dann machen und erst mühevoll den grossen Quelltext durchsuchen....etc.. Verstehst`?

[Seanaja]

Bin nicht Boese hast ja Recht!

Das mit der URL Copy ist eine Vereinfachung fuer mich, wenn ich mein Bild in einem Forum verlinken moechte.
Ich wollte mir es auch so einrichten, dass es nur aktiv ist, wenn ich Angemeldet bin sozusagen wie der Upload Button nur nicht sichtbar.
Dazu muss ich aber noch etwas weiter hier im Forum lesen, da ich noch nicht weiss wie ich es machen soll.

Gruß

[mawenzi]

... da ich noch nicht weiss wie ich es machen soll ...

Den Link nur für den Admin zeigen ...

Code: [Select]

{if is_admin} hier dein Link {endif is_admin}

mawenzi

[Seanaja]

Danke Mawenzi,
es hat zwar nicht funktioniert, aber Du hast mich auf den richtigen Weg gebracht

Ich habe folgendes eingegeben:

{if admin_links}  mein Link {endif admin_links}

und es ging

Gruß
Seanaja

[mawenzi]

... ja der geht auch ... hatte oben in der Schnelle ein if vergessen ... und jetzt berichtigt ...