Dank Carsten kann ich mein IMGhost an viele weitere Leute bringen und es immer weiter verbessern.
Ich hoffe auf ein zahlreiches Feedback und bedanke mich nochmal herzlichst bei Carsten für die Veröffentlichung.
24 Aug 2008, 23:24 Uhr
Die Werbung hat gewirkt: Ich hab mir das Skript geladen und auf meinem Server installiert und bin sehr zufrieden. Ganz gut fänd ich noch, wenn man freiwillig das Upload Formular mit einem Passwort sichern kann. Also das der Upload geschützt ist sich die Bilder aber ohne Passwort ansehen lassen.
Das ließe sich zwar auch mit einer .htaccess Datei machen nur ist das nicht so schön (Wenn auch sicherer).
Gruß,
foxx
24 Aug 2008, 23:28 Uhr
Auch zufrieden damit, wenn ich es durch eine einmalige Aktivierung eines Cookies mache? Vorteil des Ganzen ist, dass eine Änderung ausreicht. Bei nem Pass, müsste man erst die Option aktivieren und dann ggf. noch das Passwort ändern.
25 Aug 2008, 0:52 Uhr
Hm versteh nicht so ganz wie du das meinst. Also mein Anliegen ist, dass ich das Skript zum Upload eigener Bilder nutzen möchte die ich in Foren & co poste. Ich möchte nicht, dass fremde Bilder hochladen können. Also ist das naheliegenste ein Passwortschutz. Am besten per Sessions, so dass er auch ohne Cookies funktioniert (Obwohl mir das nicht sehr wichtig wär).
Aber mit Cookie wär ja auch kein Problem nur wie meinst du das mit einem Cookie ohne Passwort? Meinst du das man einmal im eigenen Browser einen Cookie setzt über den man sich authentifiziert? Damit würde das aber nicht ohne weiteres woanders mal eben funktionieren. Außerdem hab ich noch nie irgendwo eine solche Methode gesehen.
Wie auch immer – ich vermute ich hab da nur was falsch verstanden.
25 Aug 2008, 9:08 Uhr
Ich zitiere mal, was ich bei Caschy bereits geschrieben habe:
Ich möchte Euch davor warnen, das Skript zu benutzen. Sicher hat Sascha das in bester Absicht erstellt, aber es enthält einige deutliche Sicherheitsmängel (zumindest das Auslesen des Homedirectorys ist möglich, darauf aufbauend sind weitere Angriffsvektoren denkbar).
25 Aug 2008, 9:25 Uhr
@ foxx: Beispiel: Du gehst auf die Seite SERVER\imghost\index.php?cookie
Dadurch würde ein Cookie gesetzt werden und auch erst dann wird das Uploadfeld angezeigt. Vorher hat man nur eine leere Seite. Vorteil: Kein Passwort benötigt.
25 Aug 2008, 12:07 Uhr
Naja aber dann müsste die URL dazu auch in der Konfiguration eingetragen werden. Wenn die URL bei jedem gleich wär, könnte man den Trick ja bei jeder imghost Installation anwenden. Und dann könnte man auch gleich den Cookie für ein kleines Passwort Eingabeformular nutzen.
Ich denke ich schreib mal so ein Formular nach meinen Vorstellungen und poste den Patch.
25 Aug 2008, 13:46 Uhr
Wäre natürlich auch super. Ich muss mich noch um diverse Lücken kümmern, wird also noch etwas dauern, bis ich den Patch einbauen kann.
25 Aug 2008, 18:34 Uhr
26 Aug 2008, 1:09 Uhr
So, ich hab mich mal ran gesetzt und einen kleinen Passwortschutz geschrieben. Dieser ist noch nicht von mir oder anderen genau auf Fehler hin analysiert worden! Also Testen geschieht auf eigene Gefahr und sollte vorerst nicht auf Produktivinstallationen geschehen. Im Zip Archiv ist der Patch sowie eine gepatchte Originalversion.
26 Aug 2008, 7:24 Uhr
Grob drüber geschaut. Ist nun aber alles nur über Sessions, welche beim neustart des Browsers natürlich weg wäre. Ich schau mir das heute Nachmittag weiter an und bau es ggf. ein
26 Aug 2008, 12:00 Uhr
Joa das war auch so beabsichtigt. Man kann es natürlich auch über einen herkömmlichen Cookie machen mit einer längeren Lebenszeit. Aber ich finde das reicht so eigentlich.
Das sollte auch etwas sicherer sein. Naja man könnte ja so einen “Login merken” Button machen oder eine Option in den Settings in der man festlegt ob ein Cookie gesetzt werden soll und wie lange.
Gruß,
foxx