Error 403

[GeorgV]

Hallo

Musste wegen php Umstellung des Providers die alte admidio-Version 2.1.x auf eine neue Version (3.3.5) updaten. Die Datenbank ging problemlos. Auch das Theme konnte ich soweit wieder individualisieren.
Problem bereiten mir hier noch die Individualisierungen, die ich im Lauf der jahre eingebaut hatte.
Da es sich um einen Heilpraktikerverband handelt, gibt es auch "öffentliche" Profile, die von jedermann aufgerufen werden können. Die Daten kommen ohne Probleme über einen view aus der DB, aber die Profilbilder liessen sich nicht anzeigen, ein fileinfo() Skript läuft ohne Probleme und liest Breite und Höhe der Bilder aus. Die Bilder selber werden aber nicht angezeigt?? Auch eine Erweiterung der Datei-Rechte vie chmod bringt überhaupt nichts, auch eine Anmeldung im admidio-backend meinerseits bringt nichst. Auf meinem Test-Server mit php 5.6 bekomme ich nur eine error 403 Meldung, wenn ich die Bilder (korrekter Pfad .... /adm_my_files/user_profile_photos) im Quellcode der Seite direkt aufrufen will. Auf dem Live-Server (php 7.1) kommt gar nichts...
Habe den Ordner user_profile_photos in einen anderen Ordner ausserhalb admidios kopiert - dann funktioniert alles tadellos - ist aber wegen der Dubletten keine so gute Lösung...
Ebenso gibt es eigentlich die Möglichkeit, einige pdf-Dateien auch öffentlich zu downloaden - hier dasselbe Problem, die Dateien lassen sich nicht aufrufen nur fileinfo() gibt Größe korrekt aus, ebenso kann ich Ordnernamen problemlos aus der DB abfragen...
http://www.bcht.de/download.php

Ich habe nun wirklich keine Ahnung mehr, woran dies liegen könnte - weiß da jemand was??

Gruß
Georg

[XimeX]

Du hast zwar mit chmod herumprobiert. Hast du aber auch chown und chgrp probiert?
Gibt es in den Webserver logs noch irgendwelche Infos?

[GeorgV]

Im Error Log meines Test-Servers fand sich folgendes:
[Tue Oct 23 16:13:15.791939 2018] [access_compat:error] [pid 4296:tid 1644] [client ::1:50709] AH01797: client denied by server configuration: C:/xampp/htdocs/colon_hydro/mitgld2/adm_my_files/download_bcht/Naturheilkundejournal Artikel Themen/Jahrgang 2018/Ausgabe_2018_05.pdf, referer: http://localhost/colon_hydro/download.php
- Von hier wird über eine relativen Pfad zugegriffen, dies war bei der alten Version alles überhaupt kein Problem...

Gruss
Georg

[GeorgV]

Mir ist da noch eine Idee gekommen - kann es sein, das admidio in den aktuelleren Versionen eine Server-Config setzt, die alle Zugriffe von "ausserhalb" blockt??
Ich habe weder auf dem Test-Server noch auf dem Live-Server irgendwelche configs geändert....

[fasse]

Hallo Georg,

ja, wir setzen im Ordner adm_my_files eine htaccess Datei die den kompletten Zugriff von außen blockt. Dies war eigentlich schon immer so. Zwischendurch gab es allerdings Versionen, wo das nicht gesetzt wurde. Was eigentlich falsch war.

Du könntest testweise mal die htaccess-Datei umbenennen und es ausprobieren. Allerdings wird Admidio die Datei irgendwann wieder erzeugen.

Gruß
Fasse

[GeorgV]

Hallo Fasse

Danke für den Hinweis - da es früher immer funktioniert hatte, bin ich einfach nicht drauf gekommen, das es die htaccess ist...

Mit folgender Ergänzung komme ich ganz gut hin, denke ohne die Sicherheit der Installation u gefährden:

Code: Alles auswählen

Order deny,allow
allow from all

<FilesMatch "^((main|index).pdf|.+.jpg)$">
    Allow from All
</FilesMatch>

Hier werden pdf und jpg frei gegeben, die wichtigen php Dateien bleiben weiter geschützt

Guß
Georg

[GeorgV]

Hallo Fasse

Der gestrige Code-Schnipsel berugt auf einer Schnell-Recherche aus dem www - leider nicht ganz ausgereift...
Habe das Ganze noch einmal überarbeitet:

Code: Alles auswählen

Order deny,allow

#Erlaubre Formnate
<FilesMatch "\\.(pdf|jpe?g|png|gif)$">
    allow from all
</FilesMatch>

deny from all

-So funktioniert das, pdf und Bild-Dateien werden durchgelassen, habe versucht andere Dateien zu hacken, die werden weiterhin mit error 403 geblockt....

Gruss
Georg