File-Zugriff durch Unberechtigte auf FileField-Files[gelöst]
Eingetragen von mikolaskova (776)
am 16.10.2009 - 21:03 Uhr in
am 16.10.2009 - 21:03 Uhr in
Hallo,
da ich mein Dateisystem auf "private" gesetzt habe und die Files ausserhalb des Webroots ablege, sollte der Zugriff ja eigentlich via Drupal geregelt sein.
Das funktioniert auch gut im Fall des Upload-Modules.
Wenn ich einer Seite, auf die bestimmte User keinen Zugriff haben eine Datei anhänge, können sie die Datei auch mit dem direkten Link auf die Datei nicht aufrufen.
Es sollte eigentlich auch mit dem Modul FileField funktionieren. Leider haben User, die keinen Zugriff auf einen Node haben, trotzdem Zugriff auf Files, die diesem Node via File-Field angehängt sind.
Weiss jemand, woran das liegen könnte?
Danke und Gruss
Adriana
- Anmelden oder Registrieren um Kommentare zu schreiben
Hi, ist in deinem
am 18.10.2009 - 14:58 Uhr
Hi,
ist in deinem Verzeichniss eine .htaccess, das Drupal die Rechte auch kontrollieren kann? Hast du im Apache eingestellt, das diese Dateien auch die Berechtigungen überschreiben dürfen?
---
Viele Grüße,
Kars-T
Viele Grüße,
Kars-T
danke für den Hinweis- da
am 19.10.2009 - 11:46 Uhr
danke für den Hinweis- da ich in der betroffenen Installation keinen direkten Zugang auf die Verzeichnisse habe, kann ich das nicht prüfen. Allerdings funktioniert die Rechtevergabe im Fall des Upload-Moduls normal- oder funktioniert das Upload-Modul komplett anders?
Gruss
Adriana
Hängt von deiner
am 19.10.2009 - 12:27 Uhr
Hängt von deiner Konfiguration ab. Schau dir die Pfade an.
---
Viele Grüße,
Kars-T
Viele Grüße,
Kars-T
Habe zum Testen einen
am 19.10.2009 - 13:00 Uhr
Habe zum Testen einen Inhaltstyp eingerichtet, dessen FileField-Files im gleichen Verzeichnis abgelegt werden wie beim File-Upload.
Nun hänge ich einem node dieses Typs, der nur für authentifizierte Benutzer zugänglich ist, eine Datei per File-Field und per "Upload-Modul" (mitgeliefertes Modul, Dateianhang).
Beide kommen ins gleiche Verzeichnis, die mit dem Upload-Modul hochgeladene ist (korrekterweise) nicht zugänglich, die mit dem FileField hochgeladene Datei ist auch von aussen zugänglich...
Das Problem existiert seit dem Upgrade auf Drupal 6
Gruss
Adriana
Content Permissions
am 19.10.2009 - 22:17 Uhr
...inzwischen habe ich herausgefunden, woran es liegt...
der hook _file_download des Moduls filefield (also filefield_file_download), schaut nur, ob das Feld die Berechtigungen hat oder nicht.Falls dort keine Zugangsbeschränkungen sind, erhält der User Zugang zum File.
Aus einem anderen Grund habe ich aber das CKK-Modul Content Permissions nicht aktiviert und setze die Berechtigungen nur auf Node-Ebene (statt auf Feld-Ebene), was aber die funktion filefield_file_download nicht zu interessieren scheint.
Gruss
Adriana
Klingt dann eher nach einem
am 20.10.2009 - 10:56 Uhr
Klingt dann eher nach einem Bug bzw. was auch viele andere haben sollten. Ich dann dir dazu empfehlen, auf drupal.org dir die Issue Queue des Moduls anzuschauen und wenn du nichts findest eine eigene Issue anzulegen.
---
Viele Grüße,
Kars-T
Viele Grüße,
Kars-T
ja, das war es. Seit heute
am 20.10.2009 - 22:00 Uhr
ja, das war es. Seit heute gibt es eine neue Version des FileField Modules, das diesen Bug behebt..
Danke und Gruss
Adriana