Englisch:
|
PmWikiDe /
Uploads AdministrationAdministratoren
(deutsche Übersetzung der Seite PmWiki.UploadsAdmin, Stand 2006-06-21) PmWiki enthält ein Modul upload.php, welches dem Benutzer erlaubt, Dateien mit Hilfe eine Webbrowsers auf den Wiki-Server hochzuladen. Hochgeladene Dateien (auch attachments genannt) können leicht mittels Verknüpfungen auf den Wikiseiten angesprochen werden. Diese Seite beschreibt, wie die Upload-Funktion installiert und konfiguriert wird. Ein paar Hinweise zur Sicherheit !
Pm Wiki verhält sich weitgehend sehr zurückhaltend, wenn es um das Hochladen von Dateien geht. Selbst nach der Aktivierung der Upload-Funktion sind die Einschränkungen immer noch stärker, als manchmal notwendig (Pm Wiki takes a somewhat paranoid stance when it comes to the uploads feature. Thus, the default settings for uploads tend to try to restrict the feature as much as possible):
Durch diese Regeln ist das Zerstörungspotential gering, es sei denn der Wiki-Administrator hat die Regeln ausdrücklich gelockert. (This way the potential damage is limited until/unless the wiki administrator explicitly relaxes the restrictions.) Diese Einschränkungen sind auch gedacht, damit nur lesende (anonyme) Nutzer keinen größeren Schaden auf dem Server anrichten können. (Keep in mind that letting users (anonymously!) upload files to your web server does entail some amount of risk.) Die upload.php ist extra dafür entwickelt worden, um die Gefahren zu verringern (oder: um vor gefährlichen Nutzern zu schützen -- je nachdem wie man jetzt hazard interpretieren will), jedoch stehen so dem wiki administrator alle Möglichkeiten offen, die Upload-Möglichkeiten nach seinen Wünschen anzupasssen. Es sei aber auf die Gefahren hingewiesen, die eine unbedachte oder unvorsichtige Änderung mit sich bringen kann - die Effekte reichen von verwunderlich bis 'saugefährlich'. (The upload.php script has been designed to reduce the hazards, but wiki administrators should be aware that the potential for vulnerabilities exist, and that misconfiguration of the upload utility could lead to unwanted consequences.) Angemeldete Benutzer werden (dem Dateinamen nach bereits vorhandene) Dateien beim Wiederhochladen unwiederbringlich überschreiben. Um dies zu verhindern muss in die config.php folgende Zeile eingefügt werden: $EnableUploadOverwrite = 0;
Allerdings kann ein Administrator auch ältere Dateiversionen behalten. Siehe dazu: Versionierung hochgeladener Dateien. An administrator can also configure Pm Wiki so the password mechanism controls access to uploaded files. Grundinstallation
Das upload.php Script wird automatisch in stdconfig.php einbezogen, wenn die Demnach sieht eine Grundeinstellung in config.php für Uploads wie folgt aus: <?php if (!defined('PmWiki')) exit(); [-## Enable uploads and set a site-wide default upload password.-] ## Ermögliche Uploads und setze ein Site-weites Passwort. $EnableUpload = 1; $DefaultPasswords['upload'] = crypt('secret'); Wichtig: Lege kein Upload-Verzeichnis an! Siehe nächster Absatz. Möglicherweise musst du auch das Verzeichnis explizit setzen, dass die hochgeladenen Dateien speichern soll, und einen URL zu diesem Verzeichnis angeben, so wie hier: $UploadDir = "/home/john/public_html/uploads"; $UploadUrlFmt = "http://www.john.com/~john/uploads"; Uploads können site-übergreifend, gruppen-bezogen oder pro Seite konfiguriert werden, indem $UploadPrefixFmt angepasst wird. Das bestimmt, ob alle Uploads in ein gemeinsames Verzeichnis für die gesamte Site gesetzt wird, in ein individuelles für jede Gruppe oder individuell für jede einzelne Seite. Die Voreinstellung steht auf gruppenweises Speichern. Für site-weite Uploads, setze $UploadPrefixFmt = '';
Für seitenweises Speichern benutze eine dieser Einstellungen: $UploadPrefixFmt = '/$FullName'; $UploadPrefixFmt = '/$Group/$Name'; Das Uploadverzeichnis
Damit die Uploadfunktion sauber arbeitet, muss das durch Eine Datei hochladen
Sowie die Uploadfunktion freigeschaltet ist, können Benutzer auf das Upload-Formular zugreifen, indem sie " Eine Alternative wäre, den Markup " Vorgegeben ist die Organisation der hochgeladenen Dateien in einzelnen Unterverzeichnissen für jede Gruppe. Dies kann geändert werden durch anpassen der Variablen Versionierung hochgeladener Dateien
Pm Wiki verwaltet keine Versionen hochgeladener Dateien per Voreinstellung. Dennoch kann ein Administrator durch Setzen der Variablen in der Datei config.php einstellen, dass ältere Dateien im Upload-Verzeichnis zusammen mit der neuesten Datei gespeichert werden. Beschränken des Hochladens auf Gruppen oder Seiten
Hochladen kann beschränkt werden auf Gruppen oder Seiten durch Benutzen einer group customization. Setze einfach Beschränken des Hochladens auf bestimmte Dateitypen und -größen
Das Upload-Skript führt ein paar Verifikationen (Tests) durch, bevor eine Datei gespeichert wird. Die grundsätzlichen Verifikationen werden hier beschrieben.
$UploadMaxSize = 100000;
Die maximale Dateigröße kann auch für jeden Dateityp einzeln angegeben werden. So kann ein Administrator die Größe für " $UploadExtSize['gif'] = 20000; # begrenze .gif-Dateien auf 20K
Setzen eines Eintrags auf Null verhindert das Hochladen einer Datei solchen Typs insgesamt: $UploadExtSize['zip'] = 0; # verhindere .zip-Dateien
Hinzufügen neuer Dateitypen zu den erlaubten Typen
Um eine neue Dateierweiterung zu der Liste der erlaubten Typen hinzuzufügen, füge eine neue Zeile wie die folgende in eine local customization-Datei hinzu: $UploadExts['ext'] = 'content-type';
wobei ext die Dateierweiterung und content-type ein Dateityp (MIME type) ist, der mit Dateien mit dieser Erweiterung verknüpft werden soll. Um zum Beispiel die Erweiterung ' $UploadExts['dxf'] = 'image/x-dxf';
Jeder Eintrag in $UploadExts muss ein Paar aus der Erweiterung und dem damit verbundenen Mime-Typ sein: $UploadExts = array( 'gif' => 'image/gif', 'jpeg' => 'image/jpeg', 'jpg' => 'image/jpeg', 'png' => 'image/png', 'xxx' => 'yyyy/zzz' ) Für die Dateitypen, die Pm Wiki schon bekannt sind, ist deren Wiederholung hier nicht nötig (das upload.php-Skript fügt Pm Wikis? Vorgaben zu denen hinzu, die der Administrator hier angibt). Andere Dateigrößengrenzen
Es gibt weitere Faktoren, die die Dateigrößen beeinflussen. In Apache 2.0 gibt es eine LimitRequestBody-Direktive, die die Maximalgröße von Allem, was irgendwie "gepostet" wird (einschließlich der Uploads), kontrolliert. Die Vorgabe in Apache setzt dies auf 'unbegrenzt'. Dennoch begrenzen manche Distributionen (z. B. Red Hat 8./9.0) die Größe auf 512K, so dass diese Einstellung ggf. zu ändern (zu erhöhen) ist. (Normalerweise stehen solche Einstellungen in der httpd.conf-Konfigurationsdatei oder in einer Datei im /etc/httpd/conf.d-Verzeichnis.) Es wurde ein Problem berichtet mit Red Hat 8.0/9.0 mit Apache 2.0.x, wo der Fehler "Requested content-length of 670955 is larger than the configured limit of 524288" unter Apache auftritt und ein "Page not found" im Browser erscheint. Die obigen Einstellungen ändern daran auch nichts. Aber in Red Hat 8.0/9.0 gibt es eine zusätzliche PHP-Konfigurationsdatei, /etc/httpd/conf.d/php.conf, und ein heraufsetzen der Zahl in "LimitRequestBody 524288" löst das Problem. PHP selbst hat zwei Grenzen bezüglich hochzuladender Dateien (gewöhnlich in /etc/php.ini). Die erste ist der Mit den Variablen an ihren Stellen -- Pm Wikis? maximaler Dateigröße, Apaches request-size-Grenzen und den PHP-Dateigrößengrenzen -- ist die maximale Dateigröße die geringste Größe dieser drei Variablen. Durch ein Passwort geschützte hochgeladene Dateien
Das Setzen eines Lesepassworts für Seiten (und Gruppen) verhindert, dass eine angehängte Datei gesehen wird oder das man über diese Seite darauf zugreifen kann. Um aber direkten Zugriff auf den Speicherort der Datei (das uploads/-Verzeichnis) zu verhindern, kann man das folgende tun:
Siehe Cookbook:SecureAttachments. Weitere Bemerkungen
file_uploads = On
Beachte, dass httpd neu gestartet werden muss, wenn du diesen Wert änderst. Ein anderer Weg zu prüfen, ob Hochladen auf den Server erlaubt ist, ist $EnableDiag auf 1 zu setzen in config.php und ?action=phpinfo an einen URL anzufügen. Die " << Upgrades | Dokumentationsindex | Sicherheit >> |