Proteggere i contenuti delle cartelle dopo l'accesso con password
Autore: Michele M.Buongiorno, vorrei fare in modo che l'utente possa entrare in una cartella protetta con la password ma poi non possa copiare e diffondere il link. Ho già impostato correttamente la sicurezza con la disabilitazione, ma avendo usato la maschera dirList 3.0, lì dentro non funziona.
Ancora meglio sarebbe un sistema per impedire il funzionamento del link diretto una volta portato fuori dal sito.
Un esempio, per entrare nella cartella https://www.homilyvoice.it/public/Omelie/ serve la password, infatti il solo indirizzo non permette l'accesso. Ma se fornisco l'indirizzo completo del file parte regolarmente:
https://www.homilyvoice.it/public/Omelie/114.SAB.0M.02.05.2020.mp3
quindi se l'utente autorizzato decide di condividere il link di un file questo diventa pubblico e replicabile all'infinito. So che l'utente potrebbe copiare il file e pubblicarlo direttamente, ma questo è un problema decisamente minore per me, se riesco a bloccare la diffusione del link a me va già benissimo.
...!... la protezione riguarda solo i contenuti delle pagine del sito...!...
... invece i files di cui si conosce l'URL possono essere sempre raggiunti, ed in questo caso, nomi di files complicati o illogici aiuterebbero a non essere rilevati facilmente...
... puoi mettere in formato ZIP protetto i files che non vuoi condividere...
... se invece vuoi proteggere radicalmente i contenuti di un cartella, in ambiente Apache/Linux puoi usare i files lato server ".HTACCESS" + ".HTPASSWD" (in minuscolo) su cui documentarti in RETE, come per esempio qui, ove puoi vedere come adottare la protezione della cartella lato server come detto prima: https://www.mrwebmaster.it/apache/limitare-accesso-cartella-htaccess-htpasswd_7357.html ...
.
Autore
Ciao KolAsim, sempre gentilissimo e disponibile!
...!... la protezione riguarda solo i contenuti delle pagine del sito...!...
ok, questo mi è chiaro
... invece i files di cui si conosce l'URL possono essere sempre raggiunti, ed in questo caso, nomi di files complicati o illogici aiuterebbero a non essere rilevati facilmente...
Il problema non è la "ricerca", ma l'utente, che è autorizzato ad entrare nella cartella e aprire i file, ma NON deve poterli condividere mediante link originale
... puoi mettere in formato ZIP protetto i files che non vuoi condividere...
se posso proteggere tutti i file con la stessa password della cartella mi potrebbe stare bene: io utente entro con la password, apro il file con la stessa password, ma se vado a condividere il link, chi clicca è costretto ad inserire una password che non ha (l'utente condivide il file ma la password non la dà, questo è certo). Il problema è un po' strano. C'è gente che pensa di fare cosa buona a condividere questi file ed invece non deve farlo, può leggerli e farne uso personale ma non può condividerli e non so più come farglielo capire!
... se invece vuoi proteggere radicalmente i contenuti di un cartella, in ambiente Apache/Linux puoi usare i files lato server ".HTACCESS" + ".HTPASSWD" (in minuscolo) su cui documentarti in RETE, come per esempio qui, ove puoi vedere come adottare la protezione della cartella lato server come detto prima: https://www.mrwebmaster.it/apache/limitare-accesso-cartella-htaccess-htpasswd_7357.html ...
Il sito è su ARUBA, onestamente non ricordo in che ambiente opera, ma posso controllare. La domanda è semplice: se io ho il link del percorso completo ad un file che si trova nella cartella protetta da questi due file lato server, e lo butto su chrome il file si apre oppure la protezione della cartella me lo impedisce?
Grazie KolAsim
... la protezione della cartella impedisce il downlod; ...potrà farlo chi ha ottenuto user/pss da te...
... resta ovvio che chi vuol fare il furbo, può comunicare ad altri i dati di accesso sia alla pagina protetta del sito, sia ai contenuti della cartella protetta sul server...
... se proprio fosse necessario, per limitare i danni in caso di files importanti da non divulgare, potresti modificare periodicamente la protezione della cartella, da comunicare a richiesta sempre temporanea, o rinominare provvisoriamente il nome del file in modo che non possa essere raggiunto dal link noto, per riabilitarlo quando serva...
.
ciao
.
Autore
Ho fatto la prova, con il link che mi hai inviato ho creato i contenuti di .htaccess e ht.passwd
AuthType Basic
AuthName 'Area Riservata'
AuthUserFile https://homilyvoice.it/public/AreaProtetta/.htpasswd
Require valid-user
mike:c2UGt/VCKg/TE
poi ho creato i file con Notepad, come testo, ma eliminando l'estensione .txt, ne allego uno per visione.
poi li ho caricati con Filezilla nella cartella AreaProtetta assieme ad un file di testo vuoto (testo.docx)
Ma se su google scrivo: https://www.homilyvoice.it/public/AreaProtetta/testo.docx
il file viene scaricato senza nessuna richiesta di password.
Cosa sto sbagliando?
Grazie.
non stai sbagliando...
"solo" che sei su host windows (parere strettamente personale: pessima scelta)
Le istruzioni che ti ha rilasciato KolAsim, come già ti aveva preannunciato sono per Host Linux
Autore
Ah ok, il sito è su Aruba, non ho idea all'inizio come sia stato scelto il tipo di host; che tu sappia si può passare in modo indolore da un host all'altro? Mi riferisco al fatto di dover svuotare e ripubblicare tutto non ad eventuali differenze economiche. Sono deciso ad andare fino in fondo, quindi se non ti dispiace lascio aperto il Topic fino a completa soluzione del problema. Grazie.
se passi da host windows a linux , alla scadenza , è gratuito , altrimenti dovrai pagare ...
e si con il passaggio , dopo il passaggio dovrai ripubblicare l'intero sito...
... le motivazioni le ha anticipate Claudio..
... fin quando non migrerai su server Apache(Linux, ... puoi sempre usare le alternative che ti avevo detto prima, semplici e sicure...
.
Autore
Ok, chiaro, vorrei fare una prova, poiché ho il controllo di altri siti, comefaccio a capire se sono su host windows o linux?
... penso che potresti rilevarlo dal tuo pannello di amministrazione web, o chiedendo direttamente al sever...
Autore
Pensavo ci fosse un sistema immediato, visto che Claudio D. ha detto:
non stai sbagliando...
"solo" che sei su host windows
credevo lo avesse appurato in qualche modo andando sul sito.
... è semplice, trovi tutto nel tuo pannello; ...il modo più immediato per sapere della tua situazione, e chiedi al sever eventualmente cosa fare per passare sotto Apche, sempre se veramente ti serva rispetto alle alternative proposte... ...
... in rete trovi comunque decine di siti su cui documentarti per windows, per esempio > questo
... non conosco Aruba, ma forse ti potrebbe permettere la protezione diretta con password delle directory; ..prova a chiedere a loro, e sarebbe ancora più semplice...
... su centinaia di utenti su aruba, qualcuno potrebbe saperne qualcosa...
.
non con l'host windows...
... poco male, basta fare come detto prima...
infatti ... veloce e funzionale , senza sbattimenti...
Autore
Chiarisco: non ho alcuna esigenza di mantenere i siti sotto Windows e non cerco soluzioni di ripiego; leggo da più parti conferme di quello che dite circa linux/Win e voglio andare fino in fondo alla questione host linux, quindi stasera ho fatto il passaggio da win a linux per il sito di mio fratello.
mago2t.it (è un mago delle moto non un maghetto col cilindro e la bacchetta )
Nella root ho caricato la cartella AreaProtetta con i due file di protezione ed un file di testo vuoto (test.docx)
contenuto dei file .htaccess
AuthType Basic AuthName
'Area Riservata'
AuthUserFile https://mago2t.it/AreaProtetta/.htpasswd
Require valid-user
e .htpasswd
mike:bWk1daAPWgIY6
(ma la password che ho dato al link http://toolset.mrwebmaster.it/dev/htpasswd-generator.html è mike2050, non so l'ha criptata oppure se l'ha cambiata d'ufficio)
e un file di testo vuoto 'testo.docx'. Se non metto i due file di protezione nella cartella ed eseguo:
https://mago2t.it/AreaProtetta/testo.docx, il file si scarica regolarmente.
Se aggiungo .htaccess e .htpasswd, mi esce:
Server Error500
Internal Server Error
Nelle prime prove un paio di volte mi è uscita la richiesta di user/passw ma inserendo i dati con l'una o l'altra password mi usciva comunque l'errore che ho riportato sopra. Però da un certo punto non c'è stato più verso di vedere la richiesta.
L'unico dato che devo fornirvi riguarda la certificazione https, è del tipo gratuito, fornitomi da MisterDomain, non so se in questo passaggio di host debba essere adeguato, però ho fatto le prove anche con il link:
http://mago2t.it/AreaProtetta/testo.docx, il file si scarica comunque se è da solo, con i due file (anche adeguando .htaccess) stesso errore.
Per la verità, per il problema attuale, questo comportamento mi starebbe benissimo, però vorrei che il sistema funzionasse come dovrebbe, con la richiesta di user/pass per aprire regolarmente il file.
Scusate le molte parole ma è per darvi tutti gli elementi necessari per eventuali prove.
Grazie.
Autore
Aggiungo che il certificato è stato appena sistemato e che al primo tentativo è apparsa la richiesta dei dati di accesso, ma poi solito errore.
... da parte mia posso solo aggiungere di quel che ricordo, che quando lo avevo fatto io diversi anni fa, seguendo le istruzioni fu tutto funzionante in pochi minuti...
... su aruba puoi seguire anche questa procedura: https://guide.hosting.aruba.it/hosting/linux/servizi-inclusi-creazione-sito-web/file-manager-creazione-aree-protette.aspx
.
Autore
Tutto risolto. Come dicevo preferisco scegliere sempre le vie principali per risolvere i problemi. Riguardo i suggerimenti di KolAsim:
1 - quello di usare nomi strani o di cambiarli ogni tanto non è praticabile per come viene gestito il sito
2 - quello di zippare andrebbe bene,ma complicherebbe la vita durante la normale navigazione nel sito
3 - per cui l'unica soluzione è quella "maestra" del passaggio a host linux.
Leggendo il tuo ultimo suggerimento sono entrato nel pannello di controllo ed ho trovato un'organizzazione leggermente diversa da quella di Aruba, ma comunque c'è questa voce di protezione cartella che funziona esattamente come mi avete spiegato. Poi ho avuto la possibilità di fare un test su un sito che si appoggia ad ARUBA ed anche lì dal file manager sono riuscito ad oittenere quello che mi serviva. La differenza tra ARUBA e MisterDomain consiste nel fatto che Aruba crea automaticamente i due file .ht mentre MD non mette niente nella cartella, ma il risultato è lo stesso: problema risolto.
Al solito entrambi KolAsim e Claudio D. siete una certezza per tutti e siete gentilissimi e preziosi perché non mi lasciate solo e mi usate grande pazienza fino alla soluzione del problema e di questo sento la necessità di ringraziarvi pubblicamente: GRAZIE DI CUORE!
... ottimo che hai ottenuto il risultato voluto, ...e grazie per il riscontro, ...tornerà utile ad altri...