HINWEIS: Traffic-Attakke !!!

[svbomber]

Ja, ganz toll *nixversteg*

Ich machs jetzt so: http://www.svbomber.de/forum/downloads.php


Ja, alles nicht 100% save, aber besser als vorher

[Wörsty]

Habe noch eine Korrektur des Codes von vorhin:

Code: Alles auswählen

$sql = 'INSERT INTO traffic values ("",'.intval($_REQUEST["nav_id"]).',"'.$_SERVER["REMOTE_ADDR"].'", "'.$_SERVER["HTTP_USER_AGENT"].'", "'.$_SERVER["REQUEST_URI"].'", '.filesize($file).', "'.$file.'", now())';

und

Code: Alles auswählen

$sql = 'SELECT sum(filesize) as traffic FROM traffic WHERE left(time,6) ="'.date("Ym").'"';

Damit man natürlich nur mit Daten vom aktuellen Monat rechnet

Die Tabelle:

Code: Alles auswählen

CREATE TABLE `traffic` (
  `traffic_id` int(8) unsigned NOT NULL auto_increment,
  `nav_id` tinyint(3) unsigned default '0',
  `remote_addr` varchar(16) default '000.000.000.000',
  `http_user_agent` varchar(255) default NULL,
  `request_uri` varchar(255) default NULL,
  `filesize` int(8) default NULL,
  `file` varchar(255) NOT NULL default '',
  `time` timestamp(14) NOT NULL,
  PRIMARY KEY  (`traffic_id`),
  UNIQUE KEY `traffic_id` (`traffic_id`),
  KEY `traffic_id_2` (`traffic_id`)
) TYPE=MyISAM COMMENT='Zählt den Traffic';

[Murray]

Naja , nicht 100% sicher heißt eigentlich nur: "nicht sicher"
Da muss man ja gegebenenfalls kein großer Hacker sein, um die URL, die man nach Prüfung bekommt einfach auf die eigene Page zu übernehmen. Also die Normale Limitierung bringt meines Erachtens gar nichts.
Was Wörstys Ansatz besonders macht, ist im Grunde nur die Zeile

Code: Alles auswählen

readfile($file); 

und die Headerinfos dadrüber natürlich. Denn hier wird sozusagen eine einzigartige Datei erzeugt, die man downloaden kann und die identisch zu der ist, die man haben will. An das Original kommt man aber nicht ran.

[Wörsty]

Naja , nicht 100% sicher heißt eigentlich nur: "nicht sicher"
Da muss man ja gegebenenfalls kein großer Hacker sein, um die URL, die man nach Prüfung bekommt einfach auf die eigene Page zu übernehmen. Also die Normale Limitierung bringt meines Erachtens gar nichts.
Was Wörstys Ansatz besonders macht, ist im Grunde nur die Zeile

Code: Alles auswählen

readfile($file); 

und die Headerinfos dadrüber natürlich. Denn hier wird sozusagen eine einzigartige Datei erzeugt, die man downloaden kann und die identisch zu der ist, die man haben will. An das Original kommt man aber nicht ran.

Genau. Und das ich in etwa den Traffic mitzähle und dann dicht mache.

[Murray]

Ajo, sieht bei mir anders aus, arbeitet aber ähnlich ^^
Habe da auch relativ gründlich recherchiert und keine andere Methode gefunden, die Sache sicher zu machen - halt nur die, die ich noch genannt habe mit temporären FTP-Accounts, aber die kann man sich halt nicht mal schnell in PHP schreiben, da braucht man mehr.

[Wörsty]

...temporären FTP-Accounts, aber die kann man sich halt nicht mal schnell in PHP schreiben....

Jein. http://www.proftpd.de/forum2/profile.ph ... rofile&u=4

Proftpd mit mod_sql regelt

[ciao]

Tja, eine sehr umfangreiche Lösung die natürlich den Traffic überwacht. Die Frage ist ob die 'readfile' Funktion in der angewandten Form mit allen Browsern funktioniert?

In folgendem kleinen Script von 'guweb.com', daß eigentlich nur den Referer scheckt und das 'Downloadverzeichniss' unsichtbar macht, habe den Firefox nicht überzeugen können die Datei anzuzeigen!

<?php
// Eigene Domain (ohne "www." oder dergleichen)
$selfdomain = "eigenedomain.de";
// Verzeichnis der Bilder (kein Slash am Ende!)
// Relativ zum Verzeichnis dieses PHP-Skriptes
$imgdir = "bilder";

// Zusätzlich erlaubte Domain
$allowdomain = "guweb.com";

$selfdomain = strtoupper($selfdomain);
$allowdomain = strtoupper($allowdomain);
$ref = strtoupper($HTTP_REFERER);
// protokoll entfernen
$ref = str_replace("HTTP://", "", $ref);
// domain extrahieren
if (strpos($ref, "/")) $ref = substr($ref, 0, strpos($ref, "/"));
if (($ref=="") || (strpos($ref, $allowdomain)) || (strpos($ref, $selfdomain))) {
$fn = $PATH_INFO;

if ((strpos($fn, "../")) || (strpos($fn, "..\\")))
{
echo "Zugriffsverletzung"; // Server schützen
} else readfile($imgdir.$fn); // Datei ausgeben

} else {
echo "Kein Zugriff";
}
?>

Ist ganz klar kein 100% Schutz, aber dafür recht einfach in Handhabung wenn das Firefox-Problem nicht wäre.

Hat irgendwer ne' Idee?

MfG Wfromp

[Wörsty]

In folgendem kleinen Script von 'guweb.com', daß eigentlich nur den Referer scheckt und das 'Downloadverzeichniss' unsichtbar macht, habe den Firefox nicht überzeugen können die Datei anzuzeigen!

Geht das auch nicht, wenn du die Headers mitsendest?

Code: Alles auswählen

 header('Content-Description: File Transfer'); 
header('Content-Type: application/force-download'); 
header('Content-Length: ' . filesize($file)); 
header('Content-Disposition: attachment; filename=' . basename($filename)); 

Mußt du natürlich noch anpassen

Code: Alles auswählen

header('Content-Disposition: attachment; filename=blabla.jpg'); 
header('Content-type: image/jpeg');
header("Expires: ".date("D, d M Y 23:59:59")." GMT");

oder

Code: Alles auswählen

header('Content-Disposition: attachment; filename=no_banner.gif'); 
header('Content-Length: 42'); 
header('Content-type: image/gif');
header("Expires: ".date("D, d M Y 23:59:59")." GMT");

[svbomber]

Abrechnung ist da

150,11 GB über Trafficfreivolumen = 73.56 EUR

Super.

[Wörsty]

Abrechnung ist da

150,11 GB über Trafficfreivolumen = 73.56 EUR

Super.

Geht den Menschen wie den Leuten

[Gelöschter Benutzer 431]

Abrechnung ist da

150,11 GB über Trafficfreivolumen = 73.56 EUR

Super.

Geht den Menschen wie den Leuten

Armer Bombi

[Wörsty]

Armer Bombi

Wer tröstet mich?

4.640,292 MByte = 55,68 Euro

Aber zur innerlichen Genugtuung habe ich GMX gekündigt