• avatar

    Martin Wandelt am 27.05.2015  

    Bei einer Standard-Installation liegen die High-res-Bilddateien, die Sie in Pixtacy hochladen, im Ordner images/hires. Dieser Ordner befindet sich, wie das gesamte Pixtacy-Verzeichnis, im öffentlichen Bereich Ihres Webservers, und das bedeutet, dass eine darin befindliche Datei problemlos heruntergeladen werden kann, wenn man den genauen Dateinamen und -pfad kennt. Um das zu verhindern, gibt es zwei Möglichkeiten, die im Folgenden genauer beschrieben werden.

    Einrichten eines Verzeichnisschutzes

    Die meisten Webserver bieten die Möglichkeit, einen sogenannten Verzeichnisschutz einzurichten. Dabei wird dem Webserver mitgeteilt, dass direkte Zugriffe auf ein bestimmtes Verzeichnis nur mit einem Passwort bzw. gar nicht erlaubt sein sollen. Ein gängiges Verfahren, um einen solchen Verzeichnisschutz einzurichten, besteht darin, eine Konfigurationsdatei mit bestimmten Anweisungen in das zu schützende Verzeichnis zu legen. Wenn es sich um einen Apache-Webserver handelt (dem am weitesten verbreiteten Server dieser Art), muss diese Datei den Namen .htaccess tragen und zum Beispiel folgende Zeilen enthalten:

    Order deny,allow
    Deny from all

    Diese Anweisungen sorgen dafür, dass ein direktes Herunterladen von Dateien aus dem Verzeichnis, in dem die .htaccess-Datei liegt, nicht mehr möglich ist. Gleiches gilt für Dateien in Unterverzeichnissen, Unterunterverzeichnissen etc. Eine .htaccess-Datei mit dem beschriebenen Inhalt finden Sie im Anhang dieses Artikels. Sie können diese herunterladen und dann mit Hilfe eines FTP-Programms auf Ihren Server übertragen. Beachten Sie aber, dass die Datei keinen Punkt am Namensanfang hat, da sie sonst von Ihrem Computer als Systemdatei eingestuft und unsichtbar gemacht würde. Sie müssen die Datei daher nach dem Hochladen umbenennen und den Punkt am Anfang ergänzen.

    Falls bei Ihrem Provider kein Apache-, sondern eine andere Art von Webserver im Einsatz ist, muss die Konfigurationsdatei anders benannt werden und andere Anweisungen enthalten. Manche Provider stellen in ihrem Administrationsbereich auch spezielle Funktionen zur Verfügung, um einen Verzeichnisschutz einzurichten, ohne dass man eine Konfigurationsdatei erstellen muss. Im Zweifelsfall sollten Sie sich daher an den technischen Support Ihres Providers wenden.

    Verschieben des hires-Verzeichnisses in den nicht-öffentlichen Bereich

    Bei manchen Providern sind die Webserver so eingerichtet, dass es neben dem öffentlichen Bereich, in dem Ihre Webseiten liegen und in dem Pixtacy installiert ist, auch einen nicht-öffentlichen Bereich gibt, auf den niemand außer Ihnen zugreifen kann. Falls das bei Ihnen der Fall ist, können Sie das Verzeichnis mit den High-res-Bildern in diesen nicht-öffentlichen Bereich verschieben und auf diese Weise direkte Downloads verhindern. Wichtig ist in diesem Fall, dass Sie Pixtacy mitteilen, wo die High-res-Bilder zu finden sind:

    1. Rufen Sie das Pixtacy-Redaktionssystem auf und melden Sie sich als Administrator an.
    2. Navigieren Sie zur Seite Einstellungen > Dateien und klicken Sie auf Einstellungen ändern.
    3. Tragen Sie ins Feld Pfad zu den Originaldateien (hires) den Pfad ein, unter dem die High-res-Bilder zu finden sind. Dies kann ein relativer Pfad sein, der von dem Verzeichnis ausgeht, in dem sich die index.php-Datei von Pixtacy befindet, oder ein absoluter Pfad, der mit einem Schrägstrich beginnt (Beispiele siehe unten).

    4. Klicken Sie auf Speichern.

    Beispiel für einen relativen Pfad:

    ../../private/hires

    Beispiel für einen absoluten Pfad:

    /var/www/vhosts/client23/private/hires

    Wie der Pfad genau lauten muss, hängt von der Serverkonfiguration und den genauen Gegebenheiten ab. Im Zweifelsfall sollten Sie sich auch in dieser Frage an den technischen Support Ihres Providers wenden.

    Standard-Verzeichnisschutz nach einer Pixtacy-Neuinstallation

    Wenn Sie Pixtacy neu installieren und dabei den Installationsassistenten verwenden, wird automatisch eine .htaccess-Datei im Verzeichnis images/hires erzeugt. Auch wenn Sie das Installationspaket herunterladen, um eine manuelle Installation durchzuführen, befindet sich die .htaccess-Datei an der richtigen Stelle. Da der Name dieser Datei mit einem Punkt beginnt, wird sie allerdings von manchen Programmen als unsichtbare Systemdatei eingestuft und möglicherweise beim Entpacken des ZIP-Archivs oder beim FTP-Upload nicht korrekt berücksichtigt. Darum sollten Sie nach der Installation überprüfen, ob sie sich auf dem Server wirklich im Verzeichnis images/hires befindet.

    In der Vergangenheit hat das Erzeugen der .htaccess-Datei auch bei Verwendung des Installationsassistenten nicht immer funktioniert, darum sollten Sie im Zweifelsfall einmal überprüfen, ob die High-res-Dateien bei Ihnen wirklich geschützt sind.

    Überprüfen des Verzeichnisschutzes

    Mit den folgenden Schritten können Sie herauszufinden, ob Ihre High-res-Bilder gegen unbefugtes Herunterladen geschützt sind:

    1. Falls Sie in Pixtacy eingeloggt sind, melden Sie sich ab und schließen Sie das Redaktionssystem.
    2. Rufen Sie Ihren Pixtacy-Shop in einem neuen Browserfenster auf.
    3. Navigieren Sie zu einem Bild, von dem Sie wissen, dass eine High-res-Datei existiert.
    4. Ersetzen Sie in der Adresszeile Ihres Browsers die Zeichenkette index.php?/Bilder durch images/hires (oder wie auch immer der Pfad zu den High-res-Bildern lautet) und drücken Sie die Return-Taste.

    Wenn Ihr Browser eine Fehlermeldung anzeigt, liegt ein Verzeichnisschutz vor. Wenn dagegen das Bild in hoher Auflösung eingeblendet wird, funktioniert der Verzeichnisschutz noch nicht.

     

     

  • Birgit Puschmann am 27.05.2015  

    Die htaccess-Datei hat leider nicht funktioniert, ich musste beim Provider einen Verzeichnisschuutz einreichten.

  • avatar

    Heike Gutsche am 27.05.2015  

    Danke, Martin, dass du dich gekümmert hast! Bei mir hat es mit deiner htaccess-Datei funktioniert.

  • Andreas Caspari am 27.05.2015  

    Vielen Dank - Martin. Ein sehr guter Hinweis. In einem meiner shops fehlte die .htaccess-Datei. Die Prüfung vorher und nachher war so wie du es beschrieben hast.

  • Sonja Winkelbauer Padma Sambhava am 29.05.2015  

    Hat super funktioniert, danke!!

     

  • Carsten am 30.05.2015  

    Danke Martin, bei mir fehlte die Datei ebenfalls, jetzt passt es :-)

     

  • Kira Kutscher am 13.07.2020  

    Das ist ja alles schön und gut, aber kann ich auch die lores-Dateien schützen? Wir möchten auf unserem Server nämlich gerne auch empfindliche Bilder bereitstellen, die erst nach einem Login sichtbar werden. Auf so etwas soll ungern jeder Zugriff haben -- nichtmal mit niedriger Auflösung.

  • avatar

    Martin Wandelt am 15.07.2020  

    Im Augenblick werden die Low-res-Bilder direkt vom Webserver ausgeliefert, nicht von Pixtacy, deshalb würde ein Verzeichnisschutz wie bei den High-res-Bildern den Shop unbrauchbar machen. Ich überlege aber, in einer der nächsten Versionen die Möglichkeit einzubauen, Low-res-Bilder nur noch über das Pixtacy-Skript (mit entsprechender Rechteprüfung) ausliefern zu lassen — in dem Fall wäre dann ein Verzeichnisschutz machbar.

  • Um eine Antwort zu diesem Beitrag zu schreiben, müssen Sie sich einloggen.