CHMOD .. come far riconoscere un'utenza dal server

[coinroberto]

Ciao ..
considerato che in un server unix è possibile attribuire ai file i 'permessi' ..
mi domandavo come sia possibile far 'riconoscere' un utente (proprio della procedura e gestito da tabella interna) dal server .. in modo da permettere o meno la gestione dei file in questione.
Grazie mille

[alemoppo]

Probabilmente non ho capito la richiesta.

I permessi di chmod non centrano nulla con gli utenti del tuo sito.

Se vuoi gestire il tuo sito assieme ad altri, puoi usare gli account FTP.

Ciao!

[coinroberto]

Provo a spiegarmi meglio ..
premetto .. non lo so se quello che ho in testa sia fattibile .. :-)
Come dici tu gli utenti del sito non centrano niente con i permessi chmod .. ed è proprio per questo che ho le perplessità.
Mi piacerebbe capire se sia possibile fare in modo che il server riconosca l'utente del client, per permettergli o meno la gestione dei file appunto attraverso i permessi chmod ..
Tutto questo per evitare che un file possa essere visualizzato da un "estraneo", scrivendo semplicemente il percorso URL sul browser (non avrebbe il permesso)
Spero di essermi spiegato.
Grazie mille

Ciao, quello che vuoi fare nel modo che hai indicato è fattibile in linea generale, ma solo se hai pieno accesso alla gestione del server, cosa che noi utenti di Altervista non abbiamo :)
Volendo però puoi risolvere il tuo problema lavorando solo con PHP e MySQL.

EDIT: un sistema di autenticazione è sempre necessario per il riconoscimento degli utenti.

[alemoppo]

chmod è riferito agli utenti della macchina, non agli utenti del sito. Son due cose completamente differenti.
L'unico modo per far riconoscere gli utenti "privilegiati" è tramite un sistema di autenticazione.

Oltre a php (dipende di che file si tratta), puoi bloccare l'accesso a persone ristrette con .htaccess + .htpasswd.

Ciao!

[coinroberto]

C'è una buon'anima che mi mostra un esempio di file .htaccess + .htpasswd ? :-)
Avevo provato un pò di tempo fà (solo con .htaccess) con un esempio trovato in rete .. ma non mi funzionava ! :(
Grazie mille

PS. la password può essere gestita da PHP ?
Grazie mille

[alemoppo]

Se utilizzi .htpasswd, non puoi gestirla con PHP.... a meno di non modificare da PHP la password, ma diventa un casino perché poi devi anche criptarla, da quel che ho trovato, con:

Codice PHP:

crypt($mypass,"abc");


Comunque, se fai una ricerca sul forum troverai molto materiale... Inoltre penso che il lucchetto affianco ai file nel pannello di controllo faccia l'operazione in automatico.

Ciao!

[coinroberto]

Ho attivato il 'lucchetto' nella cartella che mi interessa (mi è stato creato il file '.htaccess') .. ma non mi sembra che funzioni proprio alla meraviglia .. :-(
Effettivamente se cerco di aprire un documento dalla pagina html, mi appare un popup per inserire utenza e password ..
il problema è che se io non inserisco quanto richiesto (utenza e passsw), visualizzo il codice e mi prendo il percorso, faccio un bel copia e incolla sulla URL e il file magicamente mi viene aperto (nella fattispecie un'immagine) ..
Mi sembra un controsenso .. ti viene chiesta la password quando arrivi dalla tua pagina (tra l'altro dove c'è un login) .. e non ti viene chiesto nulla se fai un copia e incolla del percorso ! :-(((
Ho sbagliato qualcosa ? .. o è proprio così ?
Nella seconda ipotesi sono di nuovo a punto e a capo.
Spero tanto ci sia una soluzione .. :-)
Grazie mille

[alemoppo]

il problema è che se io non inserisco quanto richiesto (utenza e passsw), visualizzo il codice e mi prendo il percorso, faccio un bel copia e incolla sulla URL e il file magicamente mi viene aperto (nella fattispecie un'immagine) ..

Se non hai accesso come fai a visualizzare il sorgente?

Probabilmente perché il tuo browser l'ha già salvata in cache, quindi non riesegue nemmeno la richiesta.

Proviamo con un esempio:

Ho messo il lucchetto alla cartella "lucchetto".

Questo ora non puoi vederlo: http://alemoppo.altervista.org/LABS/...o/immagine.png

Quindi non vedi nemmeno: http://alemoppo.altervista.org/LABS/lucchetto/

Ora prova ad accedere al secondo link con i dati "test", "test": visualizzerai l'immagine e il tuo browser la salverà nella cache.
Ora riprova a visualizzare il primo link (che punta direttamente all'immagine): vedrai che non ti verrà chiesta la password!

EDIT: Occhio che anche cloudflare è una cache... e può farti sembrare quel che non è!

Ciao!

[coinroberto]

chiedo dentro qua .. visto che stavo 'lavorando' per risolvere questa cosa dei permessi sui file ..
non so se ho fatto qualcosa di strano con le impostazioni de 'lucchetti' ..e con le impostazioni del PHP sempre dentro ai 'lucchetti' ..
(forse ho premuto dei 'reset' perché una volta aggiunto un'utenza non vedevo + il file '.htaccess').
Ho sostituito il file 'index' per fare delle prove .. ricopiato poi l'originale, non mi funziona più l'istruzione 'goto' !
Cosa che succedeva quando avevo la versione 4 del PHP (confermo che vedo php versione 5)
non ne vengo più fuori .. :-(
spero che qualcuno mi aiuti
Grazie mille

[coinroberto]

Ho risolto il problema del 'goto' .. grazie al buon karl94. :-)
Torniamo adesso alla questione .htaccess
il problema era dovuto proprio alla cache ..
entrato una volta con utenza e password .. rimane tutto in memoria (anche chiudendo il browser) per cui poi rientravo tranquyillamente.
Adesso rimarrebbe la questione di riuscire a dare utenza e password tramite php :-)
Sarebbe più carino invece di far digitare un'altra utenza e passw dopo aver già fatto un login.
Sinceramente non ho capito il discorso su "crypt($mypass,"abc");" ..
Grazie mille

[alemoppo]

Non mischiare le discussioni altrimenti non si capisce più nulla.

Sarebbe più carino invece di far digitare un'altra utenza e passw dopo aver già fatto un login.

Non ho capito: dopo che uno ha fatto il login, che senso ha fargli far digitare user e password?

Comunque, devi creare (o modificare se hai usato il lucchetto) il file .htpasswd. Questo file (dovresti già averlo perché generato dal lucchetto) internamente dovrebbe essere così:

Codice:

nick1:hash_password1
nick2:hash_password2
nick3:hash_password3
etc etc

Dove la parte "hash_password" devi sostituirla (tramite php) con l'hash della password relativa all'utente affianco. L'hash lo calcoli con:

Codice PHP:

crypt($mypass,"abc");


Dove $mypass contiene la password "in chiaro" dell'utente.


Quindi non devi far altro che modificare un file di testo (il file .htpasswd) con PHP.

Ciao!

[coinroberto]

Ciao,
chiedo scusa se ho mischiato gli argomenti ..
ricapitolo:
quando parlo di 'login' intendo il login per entrare nella procedura .. vorrei evitare che uno debba digitare nuovamente un'utenza e una password per visualizzare i documenti (quelli protetti da .htaccess)
Detto questo, io da 'gestione file' nella cartella protetta vedo solo file .htaccess, e non un file .htpasswd
tra l'altro non so neanche da 'gestione risorse' del sito come aprirli questi file, e dall'FTP che uso normalmente per trasferire i file da pc a host questi file (.htaccess) non si vedono.
Non so se ho capito bene .. ma cambiando la password dentro al file non ti viene poi chiesto di digitare utenza e password ?
Grazie

[alemoppo]

Nel client FTP probabilmente non visualizzi i file .htaccess e .htpasswd perché devi impostare il client di mostrare i file nascosti.

Comunque, se vuoi fare un vero e proprio sistema di login, devi usare PHP.

Ciao!

[coinroberto]

scusa .. non ho capito (al di là che non vedo i file che non è così importante)
si può bypassare il login e la password dei .htaccess e .htpasswd ?
e se 'si' .. come ? :-)
ahh .. non so se ho capito male .. ma il il sistema di login (della procedura attraverso mysql) già c'è.
Grazie

[alemoppo]

si può bypassare il login e la password dei .htaccess e .htpasswd ?
e se 'si' .. come ? :-)

Mmmmh, no: se ci sono, significa che vuoi averli, no? Altrimenti puoi eliminare il file .htaccess e quindi torna tutto normale (come prima quando non avevi usato il lucchetto).

ahh .. non so se ho capito male .. ma il il sistema di login (della procedura attraverso mysql) già c'è.

Ah, già cel'hai un sistema di login con mysql?
Allora cosa vorresti fare? Se vuoi permettere il download di determinati file solo agli utenti loggati, vedi qui.

Ciao!

[coinroberto]

Sono disperato .. mi viene da piangere !
Non so se sono io che non mi so spiegare .. o cos'altro.

faccio l'ultimo tentativo ... e se non si capoisce butto via tutto ..
ricapitolo:

é OVVIO che uso .htaccess e .htpasswd per impedire accessi non autorizzati a documenti 'riservati'

è altrettanto OVVIO che chi accede alla procedura attraverso un login (login della procedura in mysql), questi file (documenti/immagini ..) protetti con .htaccess e .htpasswd, HA TUTTI I DIRITTI PER POTERLI VEDERE.

A questo punto però, gli utenti GIA' LOGATI dovrebbero digitare una nuova utenza e una nuova password per sbloccare .htaccess e .htpasswd.

La mia domanda è semplicissima:
Si può fare in modo che PHP bypassi (visto che l'utente ha gia fatto un login) .htaccess e .htpasswd per fare in modo che non venga richiesta una nuova utenza e password ?
Bypassi la richiesta di utenza e password .. o che sia lo stesso PHP a scriverli in maniera trasparente per l'utente.
Spero che fin qua sia tutto chiaro.
Se la risposta è che si può fare solo 'forzando' il download dei file .. faccio notare che tra questi documenti ci sono immagini .. file di testo (txt), pdf ..
che NON devono essere scaricati .. ma vedono essere VISUALIZZATI al momento, come si farebbe con un semplice link.
Se anche adesso non mi sono spiegato .. ci rinuncio. :-)

Ciao

secondo me quello che chiedi è fattibile.

Io farei fare tutto il lavoro a PHP.

Nella cartella che contiene i files (chiamiamola "deposito") imposti una regola di riscrittura in modo da dirottare TUTTE le richieste verso un file php.

A questo punto gestisci la cosa come meglio credi.

1. Verifichi che l'utente sia correttamente loggato (hai detto che hai già un sistema di login su PHP giusto?)
2. identifichi il file richiesto (fai attenzione anche alle implicazioni di sicurezza)
3.a) se si tratta di un file che vuoi subito mostrare (tipo TXT) lo includi semplicemente (magari impostando i giusti header)
3.b) se invece si tratta di file da scaricare, forzi il download del file.

[alemoppo]

Ok, ma in questo modo conoscendo l'url del file, chiunque potrebbe scaricarlo.
.htaccess serve per bloccare l'accesso a tutti i visitatori (attenzione, non è con .htpasswd, ma solo .htaccess: sono cose diverse!).
Per i txt che si devono visualizzare "nel browser", probabilmente modificando qualche header si riesce a mostrarlo. Googlando un po' si dovrebbe trovar qualcosa (esempio).

Codice:

Content-Disposition: inline;

EDIT:
ops, non avevo letto questo pezzo:

imposti una regola di riscrittura in modo da dirottare TUTTE le richieste verso un file php

Ciao!

Ok, ma in questo modo conoscendo l'url del file, chiunque potrebbe scaricarlo.

E invece no!

QUALUNQUE richiesta verso un file (es: http://miospazio.altervista.org/deposito/file.ext) viene reindirizzata verso, ad esempio, http://miospazio.altervista.org/depo...p?res=file.ext e quindi gestita da questo. Se non sei autenticato, nulla da fare.

[coinroberto]

devo rileggere con calma perchè non ho capito niente ! :-)

[alemoppo]

E invece no!

QUALUNQUE richiesta verso un file (es: http://miospazio.altervista.org/deposito/file.ext) viene reindirizzata verso, ad esempio, http://miospazio.altervista.org/depo...p?res=file.ext e quindi gestita da questo. Se non sei autenticato, nulla da fare.

sìsì.... avevo editato sopra :)
Può essere un altro modo...

Ciao!