Falla della sicurezza

**mickji** · 18-02-2015, 22.01.20

Salve a tutti, dopo tanto tempo speso a rendere carino ed efficente il sito, ho scoperto una cosa molto brutta.
Io creo delle cose e quindi tento di venderle, ma praticamente nessun file e' protetto.
Inoltre ad alcuni file se si clicca view attachment page, ti dice non hai i diritti di vedere la pagina ma se copi URL che viene scritto in alto nelle sue info puoi accedere al file ...
In che modo posso proteggere il sito?
Ho provato a mettere nelle opzioni di non includere i file nella site map in questo modo non si dovrebbero vedere direttamente dal motore di ricerca, ma non credo che questo possa prevenire il ritrovamento dei link diretti dei file da parte di quelle persone a cui piace gironzolare ovunque e cercare tutti i link per prendersi i file senza pagare.
Una mano perfavore!

**karl94** · 18-02-2015, 22.11.48

Usi il plugin Easy Digital Downloads, giusto? Nel loro sito puoi trovare questo: http://docs.easydigitaldownloads.com...iles-protected. Quindi ne deduco che forse hai configurato male il plugin.
Consulta bene la documentazione del plugin, ed eventualmente contatta il loro supporto.

**mickji** · 18-02-2015, 22.53.29

Yes e' stato il secondo plugin che ho trovato, il primo era s2member ma e' stracomplicato quindi ci ho rinunciato ...
Va bene, io non avevo trovato opzioni sulla sicurezza, forse ci saranno nel prossimo aggiornamento. Il fatto di creare la cartella speciale e' vero, se non fosse per il fatto che alcuni di questi file (che sono inclusi nella lista dei download) si possono accedere tranquillamente, ad esempio i file audio e alcune immagini. La cosa strana e' che non vale con tutti i file, ma io li carico sempre allo stesso modo e non capisco cosa ci sia di diverso fra uno e l'altro...
Intanto grazie karl94

**karl94** · 19-02-2015, 01.48.24

Se riesci a pubblicare qua il contenuto del file .htaccess presente in quella cartella speciale gli possiamo dare un'occhiata e vedere se è a posto.

**mickji** · 19-02-2015, 14.20.54

Posso mettere i dati in una mail privata?

**karl94** · 19-02-2015, 16.02.42

Non dovrebbe essere necessario, scrivi pure il contenuto del file in questa discussione. Non dovrebbero esserci informazioni riservate.

**mickji** · 19-02-2015, 16.12.06

Questo e' il contenuto di htaccess che sta in /
Non riesco piu' a trovare la cartella speciale, quindi non posso cercare il file htaccess li dentro f^-^'''

Codice:

# BEGIN s2Member GZIP exclusions
<IfModule rewrite_module>
	RewriteEngine On
	RewriteBase /
	RewriteCond %{QUERY_STRING} (^|\?|&)s2member_file_download\=.+ [OR]
	RewriteCond %{QUERY_STRING} (^|\?|&)no-gzip\=1
	RewriteRule .* - [E=no-gzip:1]
</IfModule>
# END s2Member GZIP exclusions

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

# # av:php5-engine
AddHandler av-php5 .php

php_value post_max_size 20M
php_value upload_max_filesize 20M
php_value memory_limit 128M
# # av:Toolbar
SetEnv AV_TOOLBAR 1

**mickji** · 19-02-2015, 16.14.05

Ho trovato la cartella speciale e questo e' il suo contenuto

Codice:

Options -Indexes
deny from all
<FilesMatch '\.(jpg|png|gif|mp3|ogg)$'>
Order Allow,Deny
Allow from all
</FilesMatch>

Dentro, insieme a questo htaccess ci sono tante cartelle con i file che si scaricano. Ci sono tutti i file, sia quelli ai quali si ha accesso sia quelli ai quali non si pio' accedere... anche se stanno dentro la stessa cartella.

**karl94** · 19-02-2015, 16.46.11

Il contenuto è corretto, è quello che trovi nel codice del plugin e trovi anche un commento che spiega che le immagini devono essere raggiungibili per poter mostrare le miniature.
Il codice però permette l'accesso a tutti i file che hanno estensione jpg, png, gif, mp3 o ogg. Quindi non saprei darti indicazioni precise al riguardo se non: segnala a loro il problema.

**mickji** · 19-02-2015, 17.25.17

Per segnalare il problema sul sito pippin, che e' il creatore, devi avere un licence key che costa piu di 80 dollari. Non avendola non posso mandare una mail.
Nell'altro sito di easydigitaldownloads ti manda su github. Ho aperto un repository li ma non mi sembra un forum, piuttosto un posto dove creare programmi insieme.
La cosa divertente e' che i pdf a volte vengono protetti anche se non sono nella lista estensioni...

**karl94** · 19-02-2015, 17.33.10

Il supporto base dovrebbe essere gratuito. C'è anche una guida riguardo il file .htaccess ma non spiega bene perché di default quei tipi di file non siano protetti.

**mickji** · 19-02-2015, 20.44.20

Ah quel fortum! Non mi fanno fare l'account.. ho provato tutti i nomi .... pensavo di mettere una parolaccia come nome dato che nessuno era accettato ... certo che si son dati da fare per incasinare l'assistenza quelli di sto plugin u_u''.....

Controllo la guida che hai passato, magari c'e' un modo per forzare .htaccess a controllare tutti i file e sistemarli ^^.
Intanto grazie di nuovo e spero di tornare con buone notizie !

**karl94** · 19-02-2015, 20.53.58

Beh, volendo puoi lasciare nel file .htaccess solo le prime due righe, in questo modo vengono bloccati tutti gli accessi diretti ai file (ma non l'acquisto). Ma potrebbero insorgere problemi con le anteprime, stando a quello che è scritto nel commento nel codice.

**mickji** · 21-02-2015, 19.25.43

Sinceramente dall'addon sul sito non sembra che ci siano anteprime ...
Quando clicchi compra ti apre paypal e dopo che hai pagato ti invia una mail con il link del file da scaricare ... spero un link criptato!
Non so come si fa a testare siti e plugin da soli facendo finte compere e finti account,perche' altrimenti si potrebbe sapere se queste anteprime esistono davvero.

Discussione: Falla della sicurezza

LinkBack

Strumenti discussione

Display

Falla della sicurezza

Regole di scrittura