Foros del Web » Programando para Internet » PHP »

Ayuda! Se accede a los ficheros sin autenticarse

 Estas en el tema de Ayuda! Se accede a los ficheros sin autenticarse en el foro de PHP en Foros del Web. Hola, Estoy haciendo una pagina en PHP como modulo de Apache (la primera que hago). Quiero que muestre el contenido de ciertas carpetas, segun el ...
  #1 (permalink)  
Antiguo 17/12/2007, 10:48
 
Fecha de Ingreso: diciembre-2007
Mensajes: 5
Antigüedad: 16 años, 11 meses
Puntos: 0
Pregunta Ayuda! Se accede a los ficheros sin autenticarse
Hola,

Estoy haciendo una pagina en PHP como modulo de Apache (la primera que hago). Quiero que muestre el contenido de ciertas carpetas, segun el usuario, y descargar ficheros. La página muestra carpetas según el usuario que se haya logado mediante un formulario (usando sesiones).

Todo funciona bien, pero si en la barra de direcciones del navegador escribo algo del tipo http://localhost/directorio_que_sea/fichero.jpg por ejemplo, se puede acceder al fichero sin logarse, por lo que aparece un agujero de seguridad.

Como puedo autenticar a la vez usuarios en PHP y apache (ya que es éste último quien sirve el fichero al navegador) para que se pueda tener acceso a los ficheros y carpetas, según el usuario logado en php? He dado varias vueltas a lo mismo y no encuentro nada al respecto de forma clara...

Un saludo y muchas gracias.
Última edición por jefmetal; 17/12/2007 a las 11:27 Razón: Mayor claridad
  #2 (permalink)  
Antiguo 17/12/2007, 11:29
 
Fecha de Ingreso: marzo-2007
Mensajes: 129
Antigüedad: 17 años, 8 meses
Puntos: 0
Re: Ayuda! Se accede a los ficheros sin autenticarse
No uses la ruta del fichero directamete, esconde la direcion de la barra del navegador y coloca una condicion antes d emostrar el contenido ...

Si inicio secion y muestras sino no!..
__________________
Software Analyst and developer
http://ebalestrini.com
  #3 (permalink)  
Antiguo 17/12/2007, 11:55
 
Fecha de Ingreso: diciembre-2007
Mensajes: 5
Antigüedad: 16 años, 11 meses
Puntos: 0
Re: Ayuda! Se accede a los ficheros sin autenticarse
Cita:
Iniciado por ernestobalestrini Ver Mensaje
No uses la ruta del fichero directamete, esconde la direcion de la barra del navegador y coloca una condicion antes d emostrar el contenido ...

Si inicio secion y muestras sino no!..
si te he entendido bien, todo eso ya lo he hecho. Todas las variables que paso por URL estan encriptadas. El problema es que al poner http://dominio/carpeta/fichero, al no ser "fichero" un script php, es apache quien lo sirve al cliente (si existe), y no el interprete php.

Es como si ponemos http://dominio/carpeta. En este caso Apache muestra el contenido de la carpeta a menos que pongamos "options -indexes" en la configuracion de apache.

Por otro lado, al usar thumbs, es facil que el usuario vea las rutas que utilizo (aparecen en el codigo fuente de la pagina que recibe el usuario en <img src="ruta">).

Por ejemplo, si esta autenticado como "usuario" y ve en el cod fuente que tiene acceso a "/usuario/thumbs", le basta con poner http://dominio/usuario/fichero.jpg (o probar cosas del tipo http://dominio/administrador/ficheros.xxx) y acceder a ficheros que no deberia ver (incluidos txt, doc, o lo que sea).

Por eso quiero restringir el acceso a los ficheros a nivel de apache (si no estas autenticado en apache no puedes acceder a ciertos ficheros o carpetas, segun el fichero .htaccess). Pero no se como pasar a apache los datos de loggin recibidos por un formulario en php, es decir no se como logarme en apache desde php.

Muchas gracias
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 12:58.