Hallo zusammen,
auf meiner Webseite benutze ich ein Flash-Plugin welches Daten aus einer .xml-Datei liest. Es gibt eine Benutzerverwaltung. Jeder angemeldete Benutzer soll eine andere .xml-Datei angezeigt bekommen. DAs ist per Skript kein Problem, aber: Niemand soll in der Lage sein die .xml-Datei der anderen Benutzer zu öffnen. Zur Zeit geht das aber ganz einfach in dem man in den eigenen Source-code guckt und dort z.B. findet, daß die XML-Datei von http://www.meinserver.de/user1/daten.xml geladen werden. Nun kann man einfach http://www.meinserver.de/user2/daten.xml laden und bekommt die Werte angezeigt :-( Wie kann ich das verhindern? Ich habs mit htaccess probiert, aber dann kommt die Passwortabfrage auch an den Benutzer wenn das Skript seine richtige Datei öffnen will, das ist nicht gut. Alternativ hatte ich mir folgendes gedacht: Mein Skript führt eine Berechnung aus um den Pfad zu berechnen, also z.B. http://www.meinserver.de/user1/klahdkglksjrt45sdj435j/daten.xml. Dieser Pfad wäre nur sehr schwer zu erraten, ausserdem könnte ich beim Verschlüsseln ja (neben dem Benutzernamen) den aktuellen Monat berücksichtigen so daß sich der Pfadname jeden Monat ändern. Dadurch wären die Dateien ja ziemlich gut versteckt. Was meint ihr?
Es sind natürlich keine Hochsicherheitsdaten, d.h. es wäre nicht sooo schlimm wenn die dann doch mal jemand sieht, aber ich will es auch nicht zu einfach machen.
Habt ihr evtl. bessere Ideen?
auf meiner Webseite benutze ich ein Flash-Plugin welches Daten aus einer .xml-Datei liest. Es gibt eine Benutzerverwaltung. Jeder angemeldete Benutzer soll eine andere .xml-Datei angezeigt bekommen. DAs ist per Skript kein Problem, aber: Niemand soll in der Lage sein die .xml-Datei der anderen Benutzer zu öffnen. Zur Zeit geht das aber ganz einfach in dem man in den eigenen Source-code guckt und dort z.B. findet, daß die XML-Datei von http://www.meinserver.de/user1/daten.xml geladen werden. Nun kann man einfach http://www.meinserver.de/user2/daten.xml laden und bekommt die Werte angezeigt :-( Wie kann ich das verhindern? Ich habs mit htaccess probiert, aber dann kommt die Passwortabfrage auch an den Benutzer wenn das Skript seine richtige Datei öffnen will, das ist nicht gut. Alternativ hatte ich mir folgendes gedacht: Mein Skript führt eine Berechnung aus um den Pfad zu berechnen, also z.B. http://www.meinserver.de/user1/klahdkglksjrt45sdj435j/daten.xml. Dieser Pfad wäre nur sehr schwer zu erraten, ausserdem könnte ich beim Verschlüsseln ja (neben dem Benutzernamen) den aktuellen Monat berücksichtigen so daß sich der Pfadname jeden Monat ändern. Dadurch wären die Dateien ja ziemlich gut versteckt. Was meint ihr?
Es sind natürlich keine Hochsicherheitsdaten, d.h. es wäre nicht sooo schlimm wenn die dann doch mal jemand sieht, aber ich will es auch nicht zu einfach machen.
Habt ihr evtl. bessere Ideen?
