Как запретить скачивать загруженные файлы?

ЕСТЬ РЕШЕНИЕ ЗАКРЫТО InstantCMS 2.X
#1 22 мая 2017 в 10:49
Ребята помогите за мани. Задача следующая, есть две группы пользователей одна может загружать файлы, редактировать, но не может читать, вторая группа может читать (качать) файлы но не может редактировать, выставил я такие права для поле файл.

Беда в том что эти права просто скрывают или показывают ссылку на файл, при этом если у меня имеется ссылка на файл я могу скачать этот файл причём не важно к какой группе пользователей я принадлежу и более того зарегистрирован я вообще на сайте или нет.

Мне необходимо чтоб эти файлы не могли скачать те группы пользователей которым это запрещено и естественно чтоб незарегистрировнные пользователи не могли скачать эти файлы по прямой ссылке. Как такое реализовать можно?
#2 22 мая 2017 в 11:27
Тут я бы лучше или поле новое сделал с расширенными правами или еще лучше компонент файлового хранилище.
#3 22 мая 2017 в 12:18


Тут я бы лучше или поле новое сделал с расширенными правами или еще лучше компонент файлового хранилище.

Cтудия Sitestroi

Я использую поле файлы от DWD instantcms.ru/addons/multiupload.html написал ему, жду ответа, может скооперируетесь с ним? Дело в том что это поле мы долго переделывали чтоб оно в профилях пользователей корректно работало и боюсь что если с самого начала начнём это поле додумывать я не смогу сдать проект вовремя 4-е дня осталось максимум у меня. Отдельный компонент не подойдёт т.к. это должны быть именно поля в профилях пользователей, у меня этих полей по 4-е штуки в каждом профиле. Файлы это паспорта, уставы, протоколы собраний и т.д. короче абы кому никак нельзя их качать/читать.
#4 22 мая 2017 в 12:54
Колян, вы все делаете на поле от DWD и раз для вас делает, то пусть он все сделает по вашему ТЗ.
#5 22 мая 2017 в 19:22
Прямую ссылку на файл может узнать только пользователь у которого есть права на просмотр данного поля. Никто другой никаким образом не может узнать путь к файлу. Каждая публикация имеет собственную папку типа y5ig75g8jh, имя которой "злоумышленнику" неизвестно и получить его он не может. Имена файлов тоже ему неизвестны. Так что скачивание полностью подчиняется правам, которые вы выдали вашим группам пользователей.
Какие бы вы ни придумывали велосипеды существует одна непреложная истина — все, что пользователь видит в браузере можно сохранить на компьютере, поэтому если вы разрешили пользователю просмотр ваших картинок он их может скачать, если запретили — не может.
#6 22 мая 2017 в 19:41

Так что скачивание полностью подчиняется правам, которые вы выдали вашим группам пользователей.

dwd
Ровно до того момента, пока пользователь, у которого есть доступ к файлу и он знает название файла, не выложит это "знание" на всеобщее обозрение.
Тут надо делать временную ссылку, по которой надо проверять права на доступ к файлу и отдавать файл только проверенным пользователям. Но это в рамках "типа поля" не осуществить, нужен компонент.
#7 22 мая 2017 в 20:02

Ровно до того момента, пока пользователь, у которого есть доступ к файлу и он знает название файла, не выложит это "знание" на всеобщее обозрение.

Loadырь
Вы хотели сказать "Ровно до того момента, пока кто-то из администрации сайта не сольет все данные в паблик"? Так против этого временные ссылки бессильны. У человека информация делится на 2 категории — для внутреннего использования администрацией сайта и для публичного использования. Так что кроме админов сливать некому. А админам ничего не стоит слить уже скачанные данные.)))
#8 22 мая 2017 в 20:43
Я сказал, как хотел сказать. ТС печалит ситуация с ссылками, а не с тем, что уже выложено

если у меня имеется ссылка на файл я могу скачать этот файл причём не важно к какой группе пользователей я принадлежу и более того зарегистрирован я вообще на сайте или нет.

Колян
Так что тут временные ссылки пока рулят. А что касается вообще идеи хранить важную инфу в инете, то тут как говорит Яша: "Найдётся всёсо временем".
#9 23 мая 2017 в 11:15
Временные ссылки не то пальто… Мне необходимо чтоб если не положено какойто группе пользователей смотреть ссылку, то и не положено качать файл по этой ссылке, в особенности тем кто незарегистрирован на сайте, необходимо наглухо закрыть такую возможность качать файлы всем кто не состоит в группах которым разрешено читать/качать файлы.
#10 23 мая 2017 в 11:25


Я сказал, как хотел сказать. ТС печалит ситуация с ссылками, а не с тем, что уже выложено

если у меня имеется ссылка на файл я могу скачать этот файл причём не важно к какой группе пользователей я принадлежу и более того зарегистрирован я вообще на сайте или нет.

Колян
Так что тут временные ссылки пока рулят. А что касается вообще идеи хранить важную инфу в инете, то тут как говорит Яша: "Найдётся всёсо временем".

Loadырь
Важная инфа необходима для осуществления обмена первичной документацией для осуществления сделки, к сожалению или к радости не разобрался ещё… к этой первичной документации оносятся практически все необходимые документы которые попадают под фз об обработке персональных данных, есть процедура которая позволяет получить разрешение от роскомнадзора на обработку этих персональных данных, сотрудник ркн выгружает сайт и лазает по тем папкам которые ему удалось выгрузить, предварительно он регается и загружает документы тестовые и ежели он находит эти тестовые документы в тех папках что выгрузил, разрешения не видать как своих ушей, следующая проверка затянется ещё на три месяца…
#11 23 мая 2017 в 11:46


Прямую ссылку на файл может узнать только пользователь у которого есть права на просмотр данного поля. Никто другой никаким образом не может узнать путь к файлу. Каждая публикация имеет собственную папку типа y5ig75g8jh, имя которой "злоумышленнику" неизвестно и получить его он не может. Имена файлов тоже ему неизвестны. Так что скачивание полностью подчиняется правам, которые вы выдали вашим группам пользователей.
Какие бы вы ни придумывали велосипеды существует одна непреложная истина — все, что пользователь видит в браузере можно сохранить на компьютере, поэтому если вы разрешили пользователю просмотр ваших картинок он их может скачать, если запретили — не может.

dwd
Это мне понятно про ссылки, мне необходимо чтоб нельзя было выгрузить документы по этим ссылкам никому кроме тех групп пользователей кому разрешено читать эти ссылки. Неужто нельзя такое реализовать? У меня закрыт доступ к просмотру профилей, смотреть профили и редактировать свои данные в том числе загружать документы могут зареганые (зареганые читать документы не могут, кроме своих и то на странице редактирования), аккредитованные могут читать/качать документы аккредитованных юзеров и зареганных, но не могут редактировать свои данные. (обычный механизм аккредитации организации)
#12 25 мая 2017 в 09:03
Всё решил DVD, проблему, сделал защищённое скачивание при помощи скрипта, этот скрипт отдаёт загруженные файлы юзерам состоящим в определённых настройками группах.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.