elien hat geschrieben:
Und nach welchen Kritierien willst du die Session ID vergeben? Da kommt jetzt wieder der "Filter" ins Spiel. Das mit Sessions zu machen ist auf jeden Fall quatsch, dann müsste sich jeder ja erst einmal anmelden und sich ne ID geben lassen, um dann weitergeleitet zu werden.
Ich stelle mir das so vor: Ein Besucher "betritt" meine Homepage (natürlich alles mit PHP-Unterstützung). Aufgrund dieses Besuches erstellt PHP automatisch eine Hash-ID (der Ausdruck Session-ID war vielleicht etwas unglücklich gewählt). Die Hash-ID berechnet sich beispielsweise aus der IP-Adresse des Besuchers (wer "Stealther-Software" einsetzt hat hier womöglich Pech gehabt und bekommt nichts zu sehen). Auf der Homepage gibt es dann einen Link zum Betreten der Bilder-Galerie. Dies ist aber kein normaler Link sondern ein Link zu einem PHP-Skript, dem die Hash-ID als Parameter übergeben wird. Vorher hat das PHP-Skript die Hash-ID intern als "für die nächsten 60 Minuten gültig" gespeichert. Klickt der Besucher nun auf den Galerie-Link wird seine Hash-ID übermittelt und geprüft, ob diese Hash-ID noch gültig ist. Ist sie es nicht, gibts ne Fehlermeldung und keine Bilder. Ist die Hash-ID gültig, werden die Bilder angezeigt. Alle weiteren "sensitiven Bilddaten" werden natürlich weiterhin mit der Hash-ID versehen bzw. sind nur mit einer Hash-ID ansprechbar.
Kopiert jetzt jemand die Links zu den Bildern wird er vielleicht über den komischen Link stutzen, aber es doch machen. Solch ein Link könnte beispielsweise so aussehen: galerie.php?show=bild1?id=asdföl234234da3w7göa395fwj3ö49caq3mö4a
Wird kein id-Parameter übergeben, so blockt PHP ab. Baut jemand die Bilder aber mittels dieser Links ein, so werden sie nach spätestens 60 Minuten verschwunden sein, da die Hash-ID abgelaufen ist.
Als weiteren Schutz (gegen das "Speichern unter") könnte man die Bilder noch "in Häppchen" anzeigen lassen, also beispielsweise ein Bild in Hundert kleine Bildchen auseinander schnippeln. Per Rechtsklick wird dann auch nur ein kleines Bildchen erfaßt. Auch hier gilt natürlich: gegen einen Screenshot ist kein Kraut gewachsen.
Ob dieser Mechanismus wirklich schützt, weiß ich nicht. Habe das noch nie programmiert. Habe auch vor gut einem Jahr nur ein paar Wochen mit PHP rumgespielt aber dann keine Lust mehr gehabt.
Aber so vom Prinzip her müßte es funktionieren. Oder was sagt ihr (bin ja kein PHP-Experte)?
elien hat geschrieben:
Nein. Garantiert nicht. Bei mir läuft solange kein Applet, bis ich das JRE installiert habe. Meine Software mit 1.4.2 kompiliert braucht auf jeden Fall ein aktuelle JRE und nicht den komischen M$ Krams. Denn der ist nicht einmal nach Java Standard sondern wieder eigenes M$ Gewurschtel. Was auch verboten wurde und deswegen gibts in Windows XP auch kein M$ JRE mehr. Nur noch die Javascript Engine. Und zum entwickeln von Java braucht man sowieso das SDK, das geht auch mit dem JRE nicht. *
Hab ich ja gesagt, daß die mitgelieferte JRE von Microsoft angegrabscht wurde. Aber wenn man sich an einen etwas eingeschränkten Standard (vielleicht Java 1.2) halten würde, könnte es vielleicht auch mit Microsoft klappen. Das mit Windows XP ist natürlich blöd. Gerade, wo ich es bei dir gelesen habe viel es mir auch wieder ein, daß Windows XP ohne Java-Unterstützung daher kommt. Momentan "favorisiere" ich meine obige PHP-Lösung.
Aber das SDK braucht ja nur der, der das Applet programmiert, und nicht der, der das Applet ansieht.
elien hat geschrieben:
Da hast du natürlich recht. Ist aber trotzdem ein zu großer Wurf für den Zweck.
Wenn schon, denn schon.
elien hat geschrieben:
Mir ist außerdem gerade aufgefallen, dass man es tatsächlich am besten mit Flash macht. Denn so kann man verhindern, dass sich jemand die Bilder einfach runter lädt und verändert. (Er muss schon den Umweg über einen Screenshot gehen :x ). Und das komplette Flash wird er bestimmt nicht klauen, bzw. da kann man ja noch einiges mit ActionScript machen.
Ich denke mal würde man Betas Oma einen fertigen Flashbaukasten zur Verfügung stellen, dem man nur das Bild zur Verfügung stellen muss, dann schafft sie das auch
Kenne mich nicht wirklich mit Flash aus, allerdings bin ich der Meinung, daß Flash noch nicht stark genug verbreitet ist, sprich, Besucher durch eine technische Barriere abgehalten werden, die Seite zu besuchen. Werden während einer Flash-Animation eigentlich irgendwelche temporären Dateien auf der Festplatte erstellt? Wenn ja, wäre dort wieder ein Angriffspunkt.
