Bei einer Standard-Installation liegen die High-res-Bilddateien, die Sie in Pixtacy hochladen, im Ordner images/hires. Dieser Ordner befindet sich, wie das gesamte Pixtacy-Verzeichnis, im öffentlichen Bereich Ihres Webservers, und das bedeutet, dass eine darin befindliche Datei problemlos heruntergeladen werden kann, wenn man den genauen Dateinamen und -pfad kennt. Um das zu verhindern, gibt es zwei Möglichkeiten, die im Folgenden genauer beschrieben werden.
Die meisten Webserver bieten die Möglichkeit, einen sogenannten Verzeichnisschutz einzurichten. Dabei wird dem Webserver mitgeteilt, dass direkte Zugriffe auf ein bestimmtes Verzeichnis nur mit einem Passwort bzw. gar nicht erlaubt sein sollen. Ein gängiges Verfahren, um einen solchen Verzeichnisschutz einzurichten, besteht darin, eine Konfigurationsdatei mit bestimmten Anweisungen in das zu schützende Verzeichnis zu legen. Wenn es sich um einen Apache-Webserver handelt (dem am weitesten verbreiteten Server dieser Art), muss diese Datei den Namen .htaccess tragen und zum Beispiel folgende Zeilen enthalten:
Order deny,allow
Deny from all
Diese Anweisungen sorgen dafür, dass ein direktes Herunterladen von Dateien aus dem Verzeichnis, in dem die .htaccess-Datei liegt, nicht mehr möglich ist. Gleiches gilt für Dateien in Unterverzeichnissen, Unterunterverzeichnissen etc. Eine .htaccess-Datei mit dem beschriebenen Inhalt finden Sie im Anhang dieses Artikels. Sie können diese herunterladen und dann mit Hilfe eines FTP-Programms auf Ihren Server übertragen. Beachten Sie aber, dass die Datei keinen Punkt am Namensanfang hat, da sie sonst von Ihrem Computer als Systemdatei eingestuft und unsichtbar gemacht würde. Sie müssen die Datei daher nach dem Hochladen umbenennen und den Punkt am Anfang ergänzen.
Falls bei Ihrem Provider kein Apache-, sondern eine andere Art von Webserver im Einsatz ist, muss die Konfigurationsdatei anders benannt werden und andere Anweisungen enthalten. Manche Provider stellen in ihrem Administrationsbereich auch spezielle Funktionen zur Verfügung, um einen Verzeichnisschutz einzurichten, ohne dass man eine Konfigurationsdatei erstellen muss. Im Zweifelsfall sollten Sie sich daher an den technischen Support Ihres Providers wenden.
Bei manchen Providern sind die Webserver so eingerichtet, dass es neben dem öffentlichen Bereich, in dem Ihre Webseiten liegen und in dem Pixtacy installiert ist, auch einen nicht-öffentlichen Bereich gibt, auf den niemand außer Ihnen zugreifen kann. Falls das bei Ihnen der Fall ist, können Sie das Verzeichnis mit den High-res-Bildern in diesen nicht-öffentlichen Bereich verschieben und auf diese Weise direkte Downloads verhindern. Wichtig ist in diesem Fall, dass Sie Pixtacy mitteilen, wo die High-res-Bilder zu finden sind:
Beispiel für einen relativen Pfad:
../../private/hires
Beispiel für einen absoluten Pfad:
/var/www/vhosts/client23/private/hires
Wie der Pfad genau lauten muss, hängt von der Serverkonfiguration und den genauen Gegebenheiten ab. Im Zweifelsfall sollten Sie sich auch in dieser Frage an den technischen Support Ihres Providers wenden.
Wenn Sie Pixtacy neu installieren und dabei den Installationsassistenten verwenden, wird automatisch eine .htaccess-Datei im Verzeichnis images/hires erzeugt. Auch wenn Sie das Installationspaket herunterladen, um eine manuelle Installation durchzuführen, befindet sich die .htaccess-Datei an der richtigen Stelle. Da der Name dieser Datei mit einem Punkt beginnt, wird sie allerdings von manchen Programmen als unsichtbare Systemdatei eingestuft und möglicherweise beim Entpacken des ZIP-Archivs oder beim FTP-Upload nicht korrekt berücksichtigt. Darum sollten Sie nach der Installation überprüfen, ob sie sich auf dem Server wirklich im Verzeichnis images/hires befindet.
In der Vergangenheit hat das Erzeugen der .htaccess-Datei auch bei Verwendung des Installationsassistenten nicht immer funktioniert, darum sollten Sie im Zweifelsfall einmal überprüfen, ob die High-res-Dateien bei Ihnen wirklich geschützt sind.
Mit den folgenden Schritten können Sie herauszufinden, ob Ihre High-res-Bilder gegen unbefugtes Herunterladen geschützt sind:
Wenn Ihr Browser eine Fehlermeldung anzeigt, liegt ein Verzeichnisschutz vor. Wenn dagegen das Bild in hoher Auflösung eingeblendet wird, funktioniert der Verzeichnisschutz noch nicht.
Das ist ja alles schön und gut, aber kann ich auch die lores-Dateien schützen? Wir möchten auf unserem Server nämlich gerne auch empfindliche Bilder bereitstellen, die erst nach einem Login sichtbar werden. Auf so etwas soll ungern jeder Zugriff haben -- nichtmal mit niedriger Auflösung.
Im Augenblick werden die Low-res-Bilder direkt vom Webserver ausgeliefert, nicht von Pixtacy, deshalb würde ein Verzeichnisschutz wie bei den High-res-Bildern den Shop unbrauchbar machen. Ich überlege aber, in einer der nächsten Versionen die Möglichkeit einzubauen, Low-res-Bilder nur noch über das Pixtacy-Skript (mit entsprechender Rechteprüfung) ausliefern zu lassen — in dem Fall wäre dann ein Verzeichnisschutz machbar.