Aanpak bestand beveiliging

Door Bas IJzelendoorn op 23-06-2014 12:45

1.182 views

Beste,

Ik zit een beetje te worstelen met hoe ik het beste de beveiliging van een x aantal bestanden vorm ga geven.

Op een portaal waar mensen moeten inloggen kunnen zij documenten vinden (dit betreffen PDF bestanden met een totaal van 6MB). Mensen zonder account moeten niet bij deze bestanden kunnen komen. Maar mensen die ingelogd zijn moeten enkel op een linkje kunnen klikken en deze bestanden kunnen lezen en/of downloaden, zonder extra wachtwoorden of toestanden.

Hoe beveilig ik dit het beste?

Kan ik de bestanden het beste in de database zetten of in een beveiligde map op de server en hoe pak ik dit het beste aan?

O Obelix Idefix

23-06-2014 12:59

Mij is altijd verteld dat je zulke bestanden buiten de root moet plaatsen.
Via een link kun je ze dan wel aanbieden.

P Peter Flos

23-06-2014 13:24

Als je een hash aanmaakt op een bestand in de Database, en deze laat controleren in het bestand zelf, waarna je deze direct weer verwijderd ziet de gebruiker het bestand, maar daarna is het bestand nietmeer zichtbaar. (Dus ook niet met Refreshen)

Bas IJzelendoorn

23-06-2014 13:24

De link verwijzen vanuit het portaal is prima. Maar het mag dus niet zo zijn dat direct linking mogelijk is.

Dus:

ingelogd (moet werken):
http://www.domeinportaal.nl/bestanden/document.pdf

niet ingelogd (mag NIET werken):
http://www.domeinportaal.nl/bestanden/document.pdf

Frank Nietbelangrijk

23-06-2014 13:34

aansluitend op Bas betekend dat dus dat de bestanden niet publiekelijk toegankelijk mogen zijn. Je kunt de bestanden in een directory zetten die niet van buitenaf te benaderen is. Vervolgens kun je een PHP script schrijven die de inhoud van de bestanden kan teruggeven maar natuurlijk alleen als een gebruiker genoeg rechten heeft.

<?php
header("Content-type: application/pdf");

// It will be called downloaded.pdf
header('Content-Disposition: attachment; filename="downloaded.pdf"');

// The PDF source is in original.pdf
readfile("../private/original.pdf");
?>

F Furio Scripting

24-06-2014 20:04 gewijzigd op 24-06-2014 20:06

Kijk of gebruiker is ingelogd...


<?php
$_SESSION['ingelogd'] = 1;

if ($_SESSION['ingelogd'] == 1)
{
// Gebruiker is ingelogd dus mag dingen downloaden

}
else
{

// Gebruiker is niet ingelogd, dus wegwegzen hier..
header('location: /');
}
?>

O Obelix Idefix

24-06-2014 22:02

@Furio. Die begrijp ik niet goed.
Als ik zoals in de post van 23/06/2014 13:24:48 wordt aangegeven direct in de adresbalk het volledige pad ingeef naar een pdf, hoe past jouw oplossing daar dan in? Bij het oproepen van een pdf-bestand komt geen php kijken.

In het verlengde daarvan begrijp ik ook niet goed wat Peter wil met

Peter Flos op 23/06/2014 13:24:11

Als je een hash aanmaakt op een bestand in de Database, en deze laat controleren in het bestand zelf,

Het is een pdf-bestand; dan kun je toch niet in het bestand controleren?

Plaatsen van het te downloaden bestand in een directory buiten de root / die niet publiekelijk toegankelijk is lijkt me de enige oplossing. Er wordt dan wel verwezen naar een (php)bestand om het pdf-document op te halen. In dat php-bestand kan dan wel e.e.a. gecontroleerd worden zoals Furio / Peter aangeeft.

j jan terhuijzen

24-06-2014 22:19 gewijzigd op 24-06-2014 22:20

Je moet een soort bootstrap maken. Net zoals vaak bij een MVC opbouw wordt gedaan. Je maakt een soort "deliver" pagina zoals ze dat soms noemen. Dat is een doorgeefluik waar gecontroleerd wordt of je ingelogd bent. De link naar deze pagina is dus ook de link naar het bestand. Je kunt met een GET variabele aangeven welk bestand je wil ophalen. Als je bent ingelogd, wordt met PHP het bestand als output gegeven, of gewoon geinclude (maar dat kan niet altijd zomaar).
De bestanden zelf staan natuurlijk in een beveiligde map.

Reageren

Inloggen om te reageren