Mit falsecure auch die Downloads sicher schützen

felogin für den geschützten Bereich einer TYPO3-Website nicht ausreichend

Mit felogin kann man einen geschützten Login-Bereich auf einer TYPO3-Website realisieren. Das Tückische dabei: die dort hinterlegten und verlinkten Dateien(z.B. PDF-Downloads, Bilder, Videos, etc.) sind standardmäßig nicht geschützt. Sie sind über den direkten Download-Link(also unter Umgehung des TYPO3-Systems) verfügbar. Für Außenstehende ist es zwar nicht unbedingt ersichtlich, wie der genaue Pfad zu diesen Dateien lautet. Dennoch bedeutet das natürlich ein erhebliches Sicherheitsrisiko.

Mit der TYPO3-Extension fal_securedownload kann man diesem Problem Herr werden.

Vorgehen

Für den Einsatz von fal_securedownload gehen Sie wie folgt vor:

Extension installieren

Installieren Sie die Extension über den Extension-Manager. Achten Sie dabei auf die für Ihr TYPO3-System richtige Version

Sicheren Webspacebereich anlegen

Legen Sie auf Ihrem Webspace ein Verzeichnis unterhalb von "fileadmin" an(z.B. "fileadmin/intern") und schützen Sie es mit einer .htaccess-Datei, die folgende Einträge enthält

 

<FilesMatch "\.([Pp][Dd][Ff]|[Jj][Pp][Ee]?[Gg]|[Gg][Ii][Ff]|[Pp][Nn][Gg]|[Dd][Oo][Cc]|[Xx][Ll][Ss]|[Rr][Aa][Rr]|[Tt][Gg][Zz]|[Tt][Aa][Rr]|[Gg][Zz])">
    Order deny,allow
    Deny from all
    Allow from none
</FilesMatch>

 

Eigenen Dateispeicher in TYPO3 anlegen

Legen Sie im Wurzelpfad Ihres TYPO3-Systems einen neuen Dateispeicher("File Storage"), z.B. "geschützter Downloadbereich", an. Geben Sie dort den "Pfad zur Basis" an(z.B "fileadmin/intern". Unter "Zugrifssrechte" deaktivieren Sie die Checkbox für "Ist öffentlich verfügbar".

Wenn Sie diese Einstellung speichern und dann auf das Modul "Dateiliste"(Filelist) wechseln, sollte Ihnen neben dem Standardbaum "fileadmin" auch "Geschützter Download" zur Verfügung stehen.

Geschützte Dokumente sollten nur in dem dafür vorgesehen Dateispeicher(hier "geschützter Downloadbereich") abgelegt werden. Ein direkter Aufruf über Pfad+Dateiname ist dann schon mal nicht mehr möglich(da wir weiter oben den direkten Zugriff via .htaccess gesperrt haben) Nur TYPO3 kann diese Dateien ausliefern. Man erkennt dies auch an den kryptischen Links, mit denen TYPO3 diese Dateien nun verlinkt.

Bsp.:

wacon.de/index.php?eID=dumpFile&t=f&f=1040&token=560c74c3z301fp01e9ca15b7b9c01fd3878f6b39

Damit man über diesen Link(z.B. durch Weitergabe an Dritte) nicht ohne vorheriges Einloggen Zugriff auf die Dateien erhält, ändern Sie die Zugriffsrechte des angelegten Dateispeichers, in dem Sie auf das Symbol links von "Geschützer Downloadbereich" klicken und den Punkt "Folder Permissions" auswählen:

Hier können Sie nun festlegen, welche (eingeloggten) Benutzergruppen auf die Dateien zugreifen können.