Как запретить direct download?

Leo · Nov 19, 2003, 21:33

Уважаемые девелоперы :-)
У меня возникла проблема.
Имеется некий каталог с файлами(mp3), посредством скрипта(download.php) с использованием HEADER-ов юзеры скачивают оттуда фаилы. Но нашлись умники или умницы :-) , которые качают непосредсвенно из фолдера.
1. Мое предположение основывается на лог файлах(Apach). Имеются записи типа "download.php?filename="foo.mp3"' и просто "/фолдер/foo.mp3". Может так и дилжно быт'??? Но я думаю врядле.
2. Как избежать таких даунлоадов :-) ??? Я знаю что на некторых сайтах исползуют RND folder. Как это деается? И можно ли обойтись без этого как нить попроще?
Буду благодарен за любую помощь.

dolphin · Nov 20, 2003, 08:18

Quote:

Originally posted by Leo

1. Мое предположение основывается на лог файлах(Apach). Имеются записи типа "download.php?filename="foo.mp3"' и просто "/фолдер/foo.mp3". Может так и дилжно быт'??? Но я думаю врядле.

Зря думаешь. Так и должно быть. Естественно, что после редиректа header("Location: ..."); -ом к серверу идет второй запрос непосредственно к сасмому файлу.

Quote:

Originally posted by Leo

2. Как избежать таких даунлоадов :-) ??? Я знаю что на некторых сайтах исползуют RND folder. Как это деается? И можно ли обойтись без этого как нить попроще?
Буду благодарен за любую помощь.

Не знаю, что за зверьтакой. А попроще, ето пропускать через пхп, ну ты это уже проходил, помнишь?

hayk · Nov 20, 2003, 09:05

Quote:

Originally posted by Leo
Имеется некий каталог с файлами(mp3), посредством скрипта(download.php) с использованием HEADER-ов юзеры скачивают оттуда фаилы. Но нашлись умники или умницы :-) , которые качают непосредсвенно из фолдера.

Я вижу два варианта:
1. В папке где лежат мп3 файлы проверять реферер и если он не вида "download.php?filename=foo.mp3" то выдавать http-403, а если все Ок - то разрешать скачивать файл. Но это на дураков.
2. Напиши (заюзай) антилич:
- как модуль для апача
- как php скрипт (могу дать ссылки)

Obelix · Nov 20, 2003, 09:46

Можно в принципе вот что сделать. Защитить фолдер хтаксессом, а при скачивании файла делать жесткую ссылку на него с длинненьким случайным именем (предполагается что все это делается не на виндовозе). Время от времени можно приберать ненужные ссылки.

Это удобно если нужно допускать даунлоад только определенным юзверям - по аутентикации или еще чем то.

Leo · Nov 21, 2003, 12:18

Wses pasibo.
Otvechu podrobnee cherz paru chasikov

Leo · Nov 21, 2003, 16:20

To dolphin
U menya v download.php net Header(Location:...)
Tam:

PHP Code:

  Header("Accept-Ranges: bytes");

Header("Content-Length:$length");   

Header("Content-type: x-audio/mp3");

Header("Content-Disposition: attachment; filename=$filename");

 
$f=fopen("music/".$filename,"rb");

fseek($f,$bytes,SEEK_SET);

fpassthru($f);

Imeeetsya vvidu, chto faily naxodyatsya v papke music.
Eto konechto ne ves' kod. Prosot xochu skazat' chto redirecta net.

Leo · Nov 21, 2003, 16:24

To hayk
Что такое antilich?

Конечно же давай ссылку.
Спасибо.

Leo · Nov 21, 2003, 16:26

To Obelix
Как ето делается ("хтаксессом") ?

Спасибо.

Leo · Nov 21, 2003, 16:35

Вот пару строк из логфаила
217.118.66.232 - - [08/Nov/2003:18:02:05 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 49152
217.118.66.232 - - [08/Nov/2003:18:02:08 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 57344
217.118.66.232 - - [08/Nov/2003:18:02:09 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 81920
217.118.66.232 - - [08/Nov/2003:18:02:11 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 73728
217.118.66.232 - - [08/Nov/2003:18:02:12 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 65536

и

212.165.126.48 - - [15/Nov/2003:08:50:07 -0400] "GET /download.php?filename=Coolio%2520-%2520Gangsta%27s%2520Paradise.mp3 HTTP/1.0" 206 192548

В чем разница?

Obelix · Nov 21, 2003, 17:15

Предполагается что у тебя апач стоит. В директорию скидываешь файл с названием .htaccess, в нем то должна быть строка

PHP Code:

  deny from all

Должно решить проблему - к директории из веба доступа не будет.

hayk · Nov 21, 2003, 17:42

Quote:

Originally posted by Leo
Как ето делается ("хтаксессом")

А что мешает тебе вообще вынести файлы за пределы вебсервера? Ты то к ним обращаешься по файловой системе.

hayk · Nov 21, 2003, 17:50

Quote:

Originally posted by Leo
Что такое antilich?
Конечно же давай ссылку.

Антилич - это система которая не позволяет воровать линки. Например как на взоре.
Посмотри этот класс. Законченым продуктом не назовешь, но руки никак не дойдут доделать.

Leo · Nov 21, 2003, 20:44

Quote:

А что мешает тебе вообще вынести файлы за пределы вебсервера? Ты то к ним обращаешься по файловой системе.

Ne mog :-( Ne ya admin servera. Mne prosot hosting dali.

Quote:

Должно решить проблему - к директории из веба доступа не будет.

Da. Permisions byli ne v poryadke

Teper' vrode norma. Budem jdat' :-)

Всем спасибо.

Obelix · Nov 22, 2003, 05:50

A chto tebe meshaet poprobovat'? Prosto posmotri, dostupa ne doljno bit'.

Leo · Nov 22, 2003, 06:58

Delo v tom, chto ya ne znayu, kak oni poluchali dostup. Kakim putem? U menya problema s Apache logami :-( smotri zdes'

Nov 19, 2003, 21:33	#1
Leo Вечный Студент Join Date: Oct 2003 Location: Armenia Posts: 69 Rep Power: 0 Reputation: 10	Как запретить direct download? Уважаемые девелоперы :-) У меня возникла проблема. Имеется некий каталог с файлами(mp3), посредством скрипта(download.php) с использованием HEADER-ов юзеры скачивают оттуда фаилы. Но нашлись умники или умницы :-) , которые качают непосредсвенно из фолдера. 1. Мое предположение основывается на лог файлах(Apach). Имеются записи типа "download.php?filename="foo.mp3"' и просто "/фолдер/foo.mp3". Может так и дилжно быт'??? Но я думаю врядле. 2. Как избежать таких даунлоадов :-) ??? Я знаю что на некторых сайтах исползуют RND folder. Как это деается? И можно ли обойтись без этого как нить попроще? Буду благодарен за любую помощь.

Nov 20, 2003, 09:46	#4
Obelix панаехавший Join Date: Jun 2003 Location: форпост Posts: 4,005 Rep Power: 6 Reputation: 10	Можно в принципе вот что сделать. Защитить фолдер хтаксессом, а при скачивании файла делать жесткую ссылку на него с длинненьким случайным именем (предполагается что все это делается не на виндовозе). Время от времени можно приберать ненужные ссылки. Это удобно если нужно допускать даунлоад только определенным юзверям - по аутентикации или еще чем то. __________________ Իսկ ԴՈՒ արդեն վաճառե՞լ ես Հայրենիքդ ռուսներին: My Exchange Rate Monitor \| Իմ Արտարժույթի Մոնիտորը

Nov 21, 2003, 16:20	#6
Leo Вечный Студент Join Date: Oct 2003 Location: Armenia Posts: 69 Rep Power: 0 Reputation: 10	To dolphin U menya v download.php net Header(Location:...) Tam: PHP Code: `Header("Accept-Ranges: bytes"); Header("Content-Length:$length"); Header("Content-type: x-audio/mp3"); Header("Content-Disposition: attachment; filename=$filename"); $f=fopen("music/".$filename,"rb"); fseek($f,$bytes,SEEK_SET); fpassthru($f);` Imeeetsya vvidu, chto faily naxodyatsya v papke music. Eto konechto ne ves' kod. Prosot xochu skazat' chto redirecta net.

Nov 21, 2003, 16:35	#9
Leo Вечный Студент Join Date: Oct 2003 Location: Armenia Posts: 69 Rep Power: 0 Reputation: 10	To ALL Вот пару строк из логфаила 217.118.66.232 - - [08/Nov/2003:18:02:05 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 49152 217.118.66.232 - - [08/Nov/2003:18:02:08 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 57344 217.118.66.232 - - [08/Nov/2003:18:02:09 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 81920 217.118.66.232 - - [08/Nov/2003:18:02:11 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 73728 217.118.66.232 - - [08/Nov/2003:18:02:12 -0400] "GET /music/A-Ha%20-%20Lifelines.mp3 HTTP/1.1" 206 65536 и 212.165.126.48 - - [15/Nov/2003:08:50:07 -0400] "GET /download.php?filename=Coolio%2520-%2520Gangsta%27s%2520Paradise.mp3 HTTP/1.0" 206 192548 В чем разница?

Nov 21, 2003, 17:15	#10
Obelix панаехавший Join Date: Jun 2003 Location: форпост Posts: 4,005 Rep Power: 6 Reputation: 10	Предполагается что у тебя апач стоит. В директорию скидываешь файл с названием .htaccess, в нем то должна быть строка PHP Code: `deny from all` Должно решить проблему - к директории из веба доступа не будет. __________________ Իսկ ԴՈՒ արդեն վաճառե՞լ ես Հայրենիքդ ռուսներին: My Exchange Rate Monitor \| Իմ Արտարժույթի Մոնիտորը

Nov 21, 2003, 12:18	#5
Leo Вечный Студент Join Date: Oct 2003 Location: Armenia Posts: 69 Rep Power: 0 Reputation: 10	Wses pasibo. Otvechu podrobnee cherz paru chasikov

Nov 21, 2003, 16:24	#7
Leo Вечный Студент Join Date: Oct 2003 Location: Armenia Posts: 69 Rep Power: 0 Reputation: 10	To hayk Что такое antilich? Конечно же давай ссылку. Спасибо.

Nov 21, 2003, 16:26	#8
Leo Вечный Студент Join Date: Oct 2003 Location: Armenia Posts: 69 Rep Power: 0 Reputation: 10	To Obelix Как ето делается ("хтаксессом") ? Спасибо.

Nov 22, 2003, 05:50	#14
Obelix панаехавший Join Date: Jun 2003 Location: форпост Posts: 4,005 Rep Power: 6 Reputation: 10	A chto tebe meshaet poprobovat'? Prosto posmotri, dostupa ne doljno bit'. __________________ Իսկ ԴՈՒ արդեն վաճառե՞լ ես Հայրենիքդ ռուսներին: My Exchange Rate Monitor \| Իմ Արտարժույթի Մոնիտորը

Nov 22, 2003, 06:58	#15
Leo Вечный Студент Join Date: Oct 2003 Location: Armenia Posts: 69 Rep Power: 0 Reputation: 10	To Obelix Delo v tom, chto ya ne znayu, kak oni poluchali dostup. Kakim putem? U menya problema s Apache logami :-( smotri zdes'

Thread Tools
Show Printable Version Email this Page
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode