Download-Link verschlüsseln

[spreller]

Hallo zusammen,

ich habe eine Frage. Und zwar haben wir hier einen FTP-Server, mit dem wir Kunden Daten zur Verfügung stellen. Unsere Kundenberater laden hierfür die Daten auf den FTP-Server und verschicken per Mail einen HTTP-Link zu einer Zip-Datei (BSP: http:www.abcd123.de/Kunde1/neue_Daten.zip). Der Kunde klickt auf den Link und der download beginnt. Mir ist allerdings nicht ganz wohl bei der Geschichte. Denn wenn der Kunde den Dateinamen weglässt, kommt er im Browser auf alle anderen Daten über das Listing (achja unter http logischerweise kein Benutzername und Passwort).

Jetzt wollen wir die Links, die wir verschicken zumindest verschlüsseln.

Kennt Hierfür jemand ein Tool/service der so etwas ermöglicht? Am Besten noch mit einer Zeitlichen Begrenzung der Gültigkeit des Links?

Ich habe mal ein Tool gesehen. Das war ein sogenannter File:Swap-Server. Ich kann diesen leider nicht mehr finden.

Danke schon mal.

[robotto7831a]

Hallo,

warum schaltet ihr das Listing denn nicht aus?

Ich würde mir mit PHP ein kleines Skript basteln was wie folgt arbeitet. Der Kundenberater lädt über das Skript eine Datei hoch und das Skript erzeugt eine Zufallszahl die angezeigt wird. Dem Kunden gibt man nun den link www.abc1123.de/dokumente.php?id=<Zufallszahl>. Das Skript prüft nun wenn der Kunde zugreift, ob in der dahinter liegenden Datenbank die Zufallszahl gültig ist und seit dem Upload nicht mehr als x Tage vergangen sind. Wenn alles ok, dann wird die Datei durch das Skript direkt ausgeliefert ansonsten erscheint eine Fehlermeldung. Der Kunde kennt nur die Downloadseite und kein Kunde bekommt mit, wo die Datei wirklich auf dem Webserver liegt. Man könnte ja auf dem Verzeichnis auch noch eine .htaccess Datei legen um den Zugriff von außerhalb zu sperren.

Frank

[Amstelchen]

welcher server bedient denn die HTTP-anfragen?

zusätzlich zum vorausgenannten lösungsvorschlag würde ich zur verschlüsslung SSL und zur authentifizierung HTTP AUTH verwenden - ein vernünftiger webserver sollte soetwas können, und die authentifizierungsdaten lassen sich z.b. mittels PHP auslesen und (optional) mit einer datenbank (muss nichtmal mysql sein, DB- oder DBM-files reichen da oft schon) verwalten.

s'Amstel

[Bubble]

Downloadsystem zur Unterstützung des Supports einsetzen. Berater laden z.B. über eine Weboberfläche eine Datei hoch. Diese Datei wird mit einer ID (die auch so gestalltet sein kann, dass sie nicht leicht zu erraten ist) versehen, optional mit einem zusätzlichen Passwort (obwohl das bei einer geeignet gewählten ID im Grunde überflüssig ist).

Das Herunterladen geschieht ebenfalls über ein Webinterface, bei dem es keinen Zugriff auf einen direkten Link zur Datei gibt.

Man kann das ganze noch so erweitern, dass eine Datei nur X-Mal mit einer bestimmten ID heruntergeladen werden kann und/oder ab einem bestimmten Alter "verfälllt" und nicht mehr abgerufen werden kann.

[volker81]

"verstecken" kann man es mit tinyurl .

aber das verschlüsselt nicht.

vllt als ansatz hilfreich

[geloescht_JesterDay]

tinyurl versteckt nichts, es erstellt eine Weiterleitung. Spätestens dann ist die normale URL wieder bekannt.

Als erstes würd ich das Directory Listing ausschalten (Options -Indexes beim Apache), dann könnt ihr (um die Umstellung so gering wie möglich zu halten) z.B. füt jeden Kunden einen zufälligen Ordner anlegen, bzw eine zufällige ID. Also z.B.

md5(now());

Diese ID wird dann als Rewrite beim Server (Apache, aber für den IIS soll es was in der Art geben) angelegt und verweißt auf den Kundenordner. Sprich für die Kundenberater ändert sich fast nichts. Sie laden weiter die Daten in den Ordner Kunde1 hoch. Dann legen sie mit einem kleinen Tool (shell skript z.B.) eine ID an und die wird in die Datei .htaccess als RewriteRule eingetragen dabei. Raus kommt ein Link:

www.abcd123.de/ghe354987e&E§2rfer89ut46/datei1.zip

Das Problem dabei ist, die direkten Zugriffe sind natürlich nicht verhindert. Wenn also jemand den richtigen Ordner kennt oder erraten kann (also www.abcd123.de/Kundenname/ ) dannn kann er dennnoch direkt zugreifen.

Als Idee dazu: Du nennst die Ordner wirklich so wie die zufällige ID, ohne Rewrite. Um es nicht zu verwirrend zu machen für die Kundenberater und jeden der da einen Kunden sucht, legst du auf dem System (außerhalb des Webordners) einen SymLink mit dem Kundennamen auf diesen Ordner an.

Hoffe das war verständlich