Hi,
etwas komischer Titel, aber mir geistert schon ne Weile die folgende Frage durch meinen Schädel...

Ich mache private Fotos von irgendwas, die nur einem bestimmten Personenkreis zugänglich sein sollen. Natürlich kann ich jetzt Flickr, ne PHP-Galerie oder sonstwas nutzen (was ich ja auch tue), aber manchmal ist es den betreffenden Personen einfach nicht zuzumuten sich irgendwo anzumelden etc.

Daher meine Frage: wenn ich eine Galerie einer Fotostrecke etwa in Lightroom bastel und dann auf meinen Webspace in irgendein Verzeichnis lade, gibt es da Scanner/Tools/völlig einfach Mittel diese aufzuspüren? Ich kann natürlich noch ne htaccess vorschieben, aber das will ich eigentlich auch nicht. Ich setze hier natürlich voraus, dass die Adresse nirgendwo auftaucht, außer vielleicht in den mails...

Ich danke schon mal

Grüße Andreas

In ein .rar packen (verschlüsseln) und bei einem Filehoster hochladen. So mache ich das. Setzt natürlich vorraus, das der Empfänger ein Proggi zum Öffnen der entpackten Dateien hat.

Mein Filehoster zeigt mir an, wann wie oft die Dateien geladen wurden. Habe ich an drei Nasen verteilt und ich habe 3DL geht der File in die Tonne.

Gruß
Frank

Ja,
so kann man das natürlich auch machen... ich lade entweder zu Flickr hoch, und setze das Familiy-Flag, oder verschicke per mail.

Mir geht es ja darum wirklich eine "Durchklick-Galerie" hochzuladen, ohne weiter Eingriffe der Besucher. Ich will aber halt verhindern, dass diese irgendwie an die Öffentlichkeit gerät. Darum die Frage nach den "Webspace-Scannern".

Grüße Andreas

Gibt es mit Sicherheit, da die Industriezweige, die von Raubkopien bedroht werden, alles durchsuchen was geht (z.B. Filmindustrie).

Verpacke ein kleines Proggi zum Gucken mit in den .rar-File.
Oder eine Art Playlist, wie man eine solche z.B. für den Schei**-Real-Player erstellen kann.

Ich habe aber auch schon mal GMX-Galerien mit zeitlich begrenztem Zugang bekommen.
Wohl keine Ahnung, wie das geht ...

Bruß
Frank

Ich kann natürlich noch ne htaccess vorschieben, aber das will ich eigentlich auch nicht.
Grüße Andreas


Also grundsätzlich ist es schon so, dass man nichts aufs Internet stellt, dass wirklich geheim sein soll.... :cool:

Aber die einfachste und meines Wissens sehr sichere Methode ist die HTAccess-Datei.
Es gibt Hoster, die das Schützen bequem via Web-Adminpanel erlauben (wie z.B. Hostpoint.ch)
Mit der HTAccess-Methode kommt niemand an deine Dateien.
Hier ein Link dazu : http://www.supportnet.de/discussion/listmessages.asp?autoid=182311
Via Bruteforce-Attake ist es knackbar. Daher sichere passwörter verwenden.

Jedoch muss man sich an jedem geschützten System mit etwas anmelden. Normalerweise mit Username und Passwort.

Alles andere ist von mir aus einfach zu umständlich.

Hi,
es ist ja nicht so, dass ich irgendwelchen hochbrisanten Bilder in die Welt hochlade, dafür bin ich viel zu unwichtig, aber sie sind halt privat, und sollen es auch bleiben.

Ich frage mich halt ob Skript-Kiddies, die über meine Webadresse stolpern, mit ein, zwei Mausklicks meine komplette Verzeichnisstruktur angezeigt bekommen können.

Aber HTaccess ist vielleicht wirklich die beste Möglichkeit, Passwort kommt dann halt mit in die Mail ;)

Grüße

Mal abgesehen davon, dass ich .htaccess für die beste Variante halte, könnte man auch einfach einen Unterordner mit einem willkürlichen und kryptischen Namen erstellen und dort alles reinpacken.

Serienmäßig sollte das Verzeichnisslisting sowieso ausgeschalten sein, was aber noch zu überprüfen wäre.

Backbone

Mal abgesehen davon, dass ich .htaccess für die beste Variante halte, könnte man auch einfach einen Unterordner mit einem willkürlichen und kryptischen Namen erstellen und dort alles reinpacken.

Serienmäßig sollte das Verzeichnisslisting sowieso ausgeschalten sein, was aber noch zu überprüfen wäre.

Backbone

Genau so dachte ich mir das ja. Ne Unterodnerstruktur, auf die man nicht mit Nachdenken stößt... verhindert das sicher die Zugriffe?

Grüße Andreas

Genau so dachte ich mir das ja. Ne Unterodnerstruktur, auf die man nicht mit Nachdenken stößt... verhindert das sicher die Zugriffe?

Wenn jemand den Ordnernamen errät oder durch ausprobieren raus bekommt, dann hat er da vollen Zugriff, wie alle anderen Nutzer die bescheid wissen auch.

Aber wenn das Odnerlisting nicht aktiv ist, gibts keine "Abkürzung" um den Ordnernamen zu "knacken".

Backbone

Gibt es mit Sicherheit, da die Industriezweige, die von Raubkopien bedroht werden, alles durchsuchen was geht (z.B. Filmindustrie).

Ja, aber die Dateien finden, von denen man nicht weiss, dass die "da irgendwo" liegen, geht eben nicht, wenn sie nirgens verlinkt sind.

Also grundsätzlich ist es schon so, dass man nichts aufs Internet stellt, dass wirklich geheim sein soll...

Naja, PGP und VPN-Netze sind durchaus sicher genug. Sogar für Geheimdienste, Rüstungsindustrie, Terroristen usw. Das ist halt nur nicht gerade nutzerfreundlich.

Aber die einfachste und meines Wissens sehr sichere Methode ist die HTAccess-Datei.

Warum sollen die beiden folgenden URLs unterschiedlich sicher sein?

a) http://geheim:kenne-ich-nicht@domain.de/Fotos
b) http://domain.de/geheim/kenne-ich-nicht/Fotos

Ob ein Verzeichnisname geheim ist oder das Passwort macht keinen Unterschied. Bruteforce kann beide Konzepte gleich schnell aushebeln.

Via Bruteforce-Attake ist es knackbar. Daher sichere passwörter verwenden.

Via Bruteforce-Attake ist alles knackbar, was nicht nach ein paar Versuchen die IP-Adresse des Angreifers sperrt. Sichere Passwörter gibt es nicht

Jedoch muss man sich an jedem geschützten System mit etwas anmelden. Normalerweise mit Username und Passwort.

Wenn man cookies verwendet, genau einmal. Und wenn man eine einmalige Aktivierungs-URL benutzt, nichtmal das.

Alles andere ist von mir aus einfach zu umständlich.

Konsens! :) Mir auch. :top:

Fazit: Kontrolliere ab und an Deine Log-Dateien. Und wenn tatsächlich ein unbekannter "durchbricht" benenne das Verzeichnis um und verteile den neuen Link. Oder bist Du vom Geheimdienst, aus der Rüstungsindustrie oder Terrorist? ;)

Hehe,

es geht natürlich nicht um leicht zu erratende Ordnernamen wie "/galerie/ist/hier" oder so :D

DirectoryListing ist aus, schon immer, also muss ich mir keine Sorgen machen, dass andere zufällig auf die Galerie stoßen, wenn der direkte Link irgendwo auftaucht? (das wäre mir ja schon sicher genug ;))

Grüße Andreas

also muss ich mir keine Sorgen machen, dass andere zufällig auf die Galerie stoßen, wenn der direkte Link irgendwo auftaucht?

Du meinst "wenn der direkte Link nirgendwo auftaucht"?

Genau. Er könnte natürlich auftauchen, wenn Du 100 Bekannten den Link schickst und einer ihn in's Internet setzt. Das kann auch unbewußt passieren: Per IRC, nntp, ... usw. Aber dafür schaust Du dann eben ab und zu ins Logfile.

Du kannst natürlich, den 100 Leuten auch 100 eigene Nutzer/Passwort-Kombinationen geben. Vorteil: Du kannst das schwarze Schaf identifizieren. Nachteil: der Aufwand und Bruteforce geht theoretisch 100x schneller. Aber dafür gibt's ja die IP-Sperre nach dem 10. Fehlversuch.

Gut,
dann weiß ich ja bescheid :top:

Es geht hier um Menschen, die einmal auf den Link klicken, ansehen, und es für gut befinden :) Darum ja auch so wenig Aufwand wie möglich... Menschen die ICQ/IRC sonstwas beherrschen werden von mir auch mehr gefordert... ;)

Danke

Ich frage mich halt ob Skript-Kiddies, die über meine Webadresse stolpern, mit ein, zwei Mausklicks meine komplette Verzeichnisstruktur angezeigt bekommen können.
Ja, können sie. Kann ich auch ;)
Es gibt Programme wie httrack, mit denen kannst du eine komplette Website downloaden und gemütlich offline ansehen.
Suchmaschinen "spidern" alle Seiten im Netz automatisch, eine robots-Direktive in den Metatags (bitte googeln) sagt den Suchmaschinen, ob sie dürfen oder nicht, aber das ist kein Schutz, nur eine Anweisung. Was da irgendwelche Exotenskripts daraus machen, steht in den Sternen.

Aber HTaccess ist vielleicht wirklich die beste Möglichkeit, Passwort kommt dann halt mit in die Mail ;)
Ja, ist die beste, einfachste und schnellste Möglichkeit.
Du mußt auch keine geschlossene Usergruppe erstellen und für jeden ein eigenes Passwort erstellen, wenn das nur im Bekanntenkreis läuft, spricht nix dagegen, ein "globales" Login (für alle gleich) zu erstellen.

Alternativ: wenn du keine "richtige" Galerie brauchst, sondern nur die Bilder anzeigen willst, kannst du das recht einfach mit einem PHP-Skript machen, wo dann nur ein Passwort angegeben werden muss.
Hab sowas mal geschrieben, eigentlich für file-Upload, funktioniert aber nur zum Ansehen natürlich auch. Mit der Einschränkung, dass Bilder wieder direkt angesprochen werden können... bei meinem Skript werden die aber täglich umbenannt, insoferne trickst das auch schon aus.
Beispiel würd ich gerne mitliefern, leider sind meine Webseiten grad all down :(

Aber: Gegen BruteForce ist das natürlich alles nicht gefeit. Aber ich denke, so weit muß man in diesem Fall aber nicht denken, oder?

KArin

Hi Karin,
mir wäre es neu, dass Httrack ohne entsprechende Links eine Seite irgendwo in der Ordnerstruktur meines Hosters aufspüren kann. Wenn es da Mittel und Wege/Alternativen gibt, würde ich mich über eine PN sehr freuen ;)

Zu der Software:
Ich probiere im Moment sehr viel rum. Ich habe Flickr, bin aber ziemlich angepisst, weil die für deutsche Mitglieder eine Zensur zwischenschieben (auch wenn ich mittlerweile einen engl. Account zwischengeschoben habe). Ich verfeiner grade Coppermine für meine Ansprüche und finde das total klasse.

Aber manches mal reicht halt auch weniger, und dann finde ich es schön in Photoshop/Lightroom einen Knopf zu drücken und die fertige Galerie nur noch hochzuladen. Es gibt halt "Zielpersonen", die nur diese paar Bilder sehen sollen, schnell und unkompliziert.

Übrigens ist mir Bruteforce wirklich relativ egal, ich wüsste nicht warum sich jemand diesen Aufwand für Fotos von privaten/familiären Feiern machen sollte :?

Grüße Andreas

Hi Karin,
mir wäre es neu, dass Httrack ohne entsprechende Links eine Seite irgendwo in der Ordnerstruktur meines Hosters aufspüren kann. Wenn es da Mittel und Wege/Alternativen gibt, würde ich mich über eine PN sehr freuen ;)

Ich habe httrack nicht mehr auf meinem Rechner, aber soweit ich mich erinnere, reichte es, den Domainnamen anzugeben und festzulegen, wieviele Ordnerhierarchien er tracken sollte, dann kam alles bis zu dieser Ebene runter, brauchte keine eigenen Ordnernamen.
Kann mir aber auch täuschen, ist lange her.

Hier der Link zu meinem Skript:
http://www.modul.uhlig.at/bspwebprog.html
Und hier die Anwendung selber:
http://www.modul.uhlig.at/beispiele/testbilder/uhlook_s.php

LG
KArin

Hi,
ich kann mir nicht vorstellen, dass das geht mit Httrack. Woher hat das Programm denn die Verzeichnisstruktur? Rät das? Ich glaube es folgt nur den Links auf den Webseiten, bis zur angegebenen Tiefe...

Nettes kleines PHP-Skript ;) Manchmal ist weniger mehr :top:

Grüße Andreas

Aber HTaccess ist vielleicht wirklich die beste Möglichkeit, Passwort kommt dann halt mit in die Mail ;)
Was aber auch schon wieder unsicher ist. Es sei denn, die Mail wird verschlüsselt. ;)

Was aber auch schon wieder unsicher ist. Es sei denn, die Mail wird verschlüsselt. ;)

Richtig :) Ich gehe ja wie gesagt nicht davon aus, dass ganze Rechnercluster darauf losgehen, man soll nur nicht darüber "stolpern"...

Hehe, wenn ich den Leuten verschlüsselte Emails schicken würde, das wär ein Spass :top:

Hi Karin,
mir wäre es neu, dass Httrack ohne entsprechende Links eine Seite irgendwo in der Ordnerstruktur meines Hosters aufspüren kann.

Httrack hat keinen Brute-Force-Algorithmus eingebaut. Wenn Du in jedem Verzeichnis 'ne index.html hast oder directoty-listing ausgeschaltet ist, können Httrack&Co die nicht verlinkten Seiten nicht finden.