Foros del Web » Administración de Sistemas » Seguridad y redes »

Descargas seguras

Estas en el tema de Descargas seguras en el foro de Seguridad y redes en Foros del Web. Bueno, es mi primer post aquí, porque yo frecuento el de PHP, y visto el nivel de preguntas / respuestas y las FAQ's, no sé ...
  #1 (permalink)  
Antiguo 13/01/2003, 10:41
Avatar de zarate  
Fecha de Ingreso: septiembre-2001
Ubicación: Madrid
Mensajes: 164
Antigüedad: 23 años, 3 meses
Puntos: 0
Descargas seguras

Bueno, es mi primer post aquí, porque yo frecuento el de PHP, y visto el nivel de preguntas / respuestas y las FAQ's, no sé si deberé plantear la pregunta allí, porque creo es bastante sencilla:

Quiero cerrar un parte de un sitio a usuarios registrados. Con las páginas PHP la idea la tengo más o menos clara, pero hay una parte importante que serán PDF's descargables...

En una página pública habilito un enlace que te lleva a la descarga así:

1- Enlace que te abre un pop-up y le pasa un ID del documento a descargar.

2 - El pop-up confirma que el usuario se ha validado o si no le lleva a un formulario de log-in.

3 - Si el usuario está OK, el PHP se va a la BD y mirar qué archivo es exactamente e imprime en el el <body onload="loquesea.zip">

Esa es la secuencia lógica, pero nos quedan preguntas en el aire:

1 - Si inicio la descarga en el <body onload="loquesea.zip">, qué le impide a alguien hacer boton derecho y mirar la URL y pasarsela por mail a todos sus amigos? podemos deshabilitar el boton derecho mediante JavaScript, pero no nos convence, además, aunque así sea...

2 - Qué le impide ir a los temporales de Internet ver el código de la página HTML "off-line", podemos evitar que se quede en la caché......

3 - Debemos cerrar la carpeta del servidor que contiene las descargas para que si alguien intenta entrar y no tiene el login / pass le devuelva una página 403 (alguien que me diga por favor cómo se llama exactamente este tipo de protección, please ), no sé entonces si puedo descargar de la forma anterior un archivo de esa carpeta, ya que cómo le paso ese login / pass.....

Necesito ayuda familia, muchas gracias
__________________
Zárate
  #2 (permalink)  
Antiguo 13/01/2003, 11:40
Avatar de Giondo  
Fecha de Ingreso: diciembre-2002
Ubicación: en algun lugar del mundo
Mensajes: 565
Antigüedad: 22 años
Puntos: 0
pues ese tipo de errores el 403 generalmente lo maneja el server.. con los archivos .htaccess

si es un server pago.. la mayoria trae un panel de control de donde podes dar de alta los usuarios y luego asignarle ese usuario a un directorio... entonces ahi podrias manejar el tema de lo usuarios protejerlo y listo.. le pedira user y pass cuando trate de entrar a ese dir.. se como sea si lo llamas desde php o si pones el link completo igual te pide el user y pass..

fijate de hacer eso.. agrega un user dale permisos.. y luego si queres fijate como es el formato del archivo .htaccess tal ves puedas modificarlo desde php (claro que de esto ni idea) para agregar los user sin la necesidad de hacerlo manualmente cada uno..

salu2

PD: espero que te sirva
__________________
Welcome to The Human Race
  #3 (permalink)  
Antiguo 13/01/2003, 11:59
Avatar de Virgil
Colaborador
 
Fecha de Ingreso: agosto-2002
Ubicación: Guadalajara
Mensajes: 872
Antigüedad: 22 años, 4 meses
Puntos: 3
Otra opción es crear un script PHP que envíe el archivo por email, en una sóla ocasión, por usuario registrado. De esta forma no pueden hacer hotlinking a tus archivos. Además, por ser del lado de servidor, el archivo puede estar un nivel más abajo del directorio público, o en un directorio protegido sin acceso externo.
__________________
Un Saludo,

Virgil


"Un viaje de mil leguas comienza con el primer paso"
Lao Tse
  #4 (permalink)  
Antiguo 12/02/2003, 10:24
Avatar de zarate  
Fecha de Ingreso: septiembre-2001
Ubicación: Madrid
Mensajes: 164
Antigüedad: 23 años, 3 meses
Puntos: 0
Bueno familia vuelvo a la carga con este post....

Después de algunas pruebas todavía no sé cómo hacerlo de forma segura...

Vale que mi scripts "confidenciales" puedo tenerlos fuera de la carpeta HTML, pero, si meto los archivos que quiero que sean seguros fuera de esa carpeta HTML, no puedo generar enlaces a ellos....

Entonces, creo que lo que tengo que hacer es meter los archivos dentro de una carpeta y protegerla desde el panel de control de mi dominio para que si alguien sin login y password intenta entrar le de un 403...., pero entonces, ¿cómo hago para que los usuarios que yo he validado mediante PHP puedan obtener acceso a ellos sin que les aparezca la ventana de autorización? ¿Se pueden mandar algún tipo de cabeceras con el usuario y la contraseña para evitarlo?

Bueno, muchas gracias por todo.
__________________
Zárate
  #5 (permalink)  
Antiguo 12/02/2003, 10:45
Avatar de Virgil
Colaborador
 
Fecha de Ingreso: agosto-2002
Ubicación: Guadalajara
Mensajes: 872
Antigüedad: 22 años, 4 meses
Puntos: 3
zarate, en html no tienes acceso a las carpetas de nivel inferior a tu directorio raíz de web, pero mediante PHP si. El script recoge el archivo de la carpeta especificada y lo envía únicamente a usuarios autenticados; de esta manera no se puede hacer hotlinking. La otra opción, como te comenté, consiste en combinar esto con el envió por email del archivo.
__________________
Un Saludo,

Virgil


"Un viaje de mil leguas comienza con el primer paso"
Lao Tse
  #6 (permalink)  
Antiguo 12/02/2003, 11:37
Avatar de zarate  
Fecha de Ingreso: septiembre-2001
Ubicación: Madrid
Mensajes: 164
Antigüedad: 23 años, 3 meses
Puntos: 0
Vale, vale, y no se si a partir de ahora debo irme al foro de PHP, pero ¿como hace PHP ese envio, no por mail, sino que abra un diálogo de descarga?

Muchas gracias otra vez
__________________
Zárate
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:00.