Kostenpfl. Digitale Artikel ohnr bezahlen downloadbar

[lichtgestalt]

Ich setze Veyton 4 ein und habe digitale kostenpflichtige Artikel angelegt. Soweit alles schön. Bezahlen, Download geht alles. Wenn man mal im Browser unter den Aktivitäten nachschaut, sieht man den direkten Pfad zur Artikeldatei.

Wenn ich also den Pfad eines kostenplchtigen Artikels - sprich die downloadfähige Datei direkt in den Browser tippe. Kann man den Artikel ohne zu bezahlen downloaden!

Ist das Verzeichnis wirklich so ungeschützt? Oder muss man da, die Rechte ändern? Im Handbuch ( Haha, ist keins - nennt sich nur so) steht dazu nix.

Weiss da jemand Bescheid? Gibt es da ein redirect was man einschalten kann oder ähnlich? Der einfältige Trick mit der 1 Byte html ist ja wohl ne Aufgabe die im Kindergarten gelöst wird.

Gruss

[df:bug]

Hallo,

hast du den Download zeitlich begrenzt, bzw. so begrenzt, dass dieser nur einmal heruntergeladen werden kann?

Viele Grüße,
df:bug

[lichtgestalt]

Das ist unerheblich.

Man kann (jedermann), jederzeit durch direkte eingabe des kompletten pfades in den browser eine kostenpflichtige datei downloaden. dazu muss man nicht kunde sein, nur den pfad kennen.

das ist, wenn sich das nicht schützen lässt, ein absolutes no go für einen webshop. ich hoffe, das ich einfach nur nicht alle informationen habe um das korrekt einzustellen.

viele grüsse

[df:bug]

Hallo,

du kannst die .htaccess aus dem Ordner plugins in den Ordner media/files kopieren. Der Fehler wurde vom Support aufgenommen und wird geprüft.

Viele Grüße,
df:bug

[lichtgestalt]

DIese htaccess schützt html und php files. was passiert denn wenn ich z.b. zip-files auch auf deny setze? lassen sich die zipfiles dann noch über das kundenfrontend laden?

Ich glaube mal eher nicht...

Bin mal gespannt was der Support so prüft und zu welchem Ergebnis er kommt. Sollte ja nicht so lange dauern bis eine Lösung da ist.

Mein Vorschlag ist mit mode_rewrite zu arbeiten und Benutzer ohne Session Login gleich wieder zum Anmeldebereich zu schicken. Die mit Login Session aber noch daraufhin überprüfen, ob die angeforderte Datei(en) als Attachment zu seinen bezahlten! Artikel gehören.

Ansonsten ist es ja so, als wenn man bei einer Lagerhalle die Tür auf lässt.
Und wo das jetzt auch öffentlich ist, kann man an die Lagerhalle ein Schild dranhängen mit der Aufschrift: "nicht gesichert - bitte bedienen sie sich!"

Gruss

[df:bug]

Hallo,

die .htaccess kannst du selber noch für die bestimmten Dateitypen anpassen.

Viele Grüße,
df:bug

[matictec]

Es gibt hier zwei übliche Vorgehensweisen, die wie folgt aussehen:

1) Der Ordner mit den Downloads ist komplett geschützt. Kein Zugriff auf nichts. Ein PHP-Script realisiert den Download. Dazu "streamt" das Script die Datei, denn das Script kann trotz .htaccess auf die Datei zugreifen. Das PHP-Script prüft ob der Kunde den Artikel bezahlt hat und angemeldet ist.

2) Die Datei wird in der DB gespeichert, das Vorgehen ist dann im Grunde das Selbe wie oben, nur dass die Daten in der DB nicht durch eine htaccess geschützt werden müssen.

[xt:mzanier]

Zitat:

Wenn ich also den Pfad eines kostenplchtigen Artikels - sprich die downloadfähige Datei direkt in den Browser tippe. Kann man den Artikel ohne zu bezahlen downloaden!

der link unter files_public ist nur für 24 Stunden gültig.
In der Zeit muss dieser natürlich auch ohne Session aufrufbar sein, für den Fall das jemand zb 1GB Datein zum Download stellt und der Kunde den Download mit einem Downloadmanager (mehrere verbindungen/download in teilen) vornehmen kann.

den inhalt von files/ kann man noch zusätzlich mit einer htaccess schützen die jeglichen aufruf unterbindet (wie zb in xtLogs)

Zitat:

1) Der Ordner mit den Downloads ist komplett geschützt. Kein Zugriff auf nichts. Ein PHP-Script realisiert den Download. Dazu "streamt" das Script die Datei, denn das Script kann trotz .htaccess auf die Datei zugreifen. Das PHP-Script prüft ob der Kunde den Artikel bezahlt hat und angemeldet ist.

Streaming bringt probleme bei großen Datein, wir arbeiten hier mit Symlinks welche 24 Stunden gültig sind.