Problemas en SEGURIDAD

En primer lugar un saludo a todos y agradecimiento.

Describo brevemente el problema que tengo para proteger archivos de audio y video en un directorio. El directorio es accesible por la web

Tengo una web alojada en España que vende audio y video muy especificos. Hay cesta de la compra, pago por servidor seguro etc.. y una vez que el cliente ha comprado se le envia a una pagina desde donde descargarlos.

Al pinchar en el link para DESCARGAR, hago una consulta comprobando el pago y una serie de variables en una base de datos y si todo es ok, le redirecciono a otra pagina (descargar.php) colocada en un servidor alojado en america (los gigas son alli mas baratos).

Es decir, al pinchar en el link, va una pagina llamada descargar.php. Esa pagina comprueba tambien otra serie de datos y mediante unos header (modifico content xtype, etc ... ) y los fopen y fgets comienza la descarga del archivo hacia el cliente.

La descarga se realiza desde una direccion del tipo http://62.135.25.240/archivos/video/ESTE_VIDEO.mpg, es decir, en el directorio /video/ estan todos los ficheros que se podrian descargar (la pagina descargar.php no esta en el mismo directorio que los archivos, sino en uno superior aunque no es importante). Lo que si importa es que hay un directorio donde solo hay mp3, mpg, avi, etc ..

Esa direccion desde la que se descarga el fichero puede llegarse a ver por el cliente (si es medianamente avispado) y despues podria teclear directamente la direccion en el navegador y descargarse cualquier otro video si conociera su nombre (por ej, luego escribe http://62.135.25.240/archivos/video/OTRO_VIDEO.mpg y se lo descargaria sin haberlo pagado).

Problemas:

- no puedo proteger el directorio donde estan los archivos a descargar pues entonces apareceria la ventanita para meter usuario y contraseña, lo cual jorobaria al cliente. Y si lo doy esos datos los podria usar igualmente para descargarse otros videos.

- no puedo usar hotlink con el .htaccess en el directorio de los archivos pues windows media player no soporta el HTTP_REFERER, y aunque he intentado permitir SOLO a descargar.php acceso al directorio de los archivos, no funciona (he probado 7 formas distintas segun se indica en http://www.htmlbasix.com/disablehotlinking.shtml y o se descarga siempre - es decir tanto a traves de descargar.php como escribiendo directamente una url de un video - o no se descarga nunca).

Es decir, lo que busco es la forma de proteger el directorio de los archivos para que cuando se escriba directamente la direccion de un archivo en el navegador se deniege el acceso PERO que a traves de un fichero llave(descargar.php) externo a ese directorio se puede acceder y descargar lo que el cleinte pago y ha solicitado.

Es posible leer el fichero y poderlo descargar a pesar de proteger el directorio o hay alguna otra "formula".

Trate de sacar el directorio de los archivos fuera de la web pero el $DOCUMENT_ROOT es /usr/local/apache/htdocs, y deduzco que hay algun alias pues si ejecuto un fichero en raiz el SCRIPT_FILENAME es /home/nombre/public_html/index.php que equivale al http://65.58.125.58/~nombre/index.php. Y no encuentro la relacion.

Disculpas por lo largo de la consulta y agradecimientos por adelantado.
Un saludo a tod@s.

No se es una idea, pero no se si te resultara. Yo una vez que el usuario a metido los datos y demas, cuando ya sabes que todo es correcto le metería una cookie en su disco.
Asi a lo mejor a la hora de entregarle el archivo a lo mejor puedes recuperar esa cookie y si esta correcta se lo entregas y si no es correcta o no existe la cookie le mandas al carajo.

No se, es una idea, pero no se realmente si es buena o si te podrá funcionar.

ah se me olvidaba, si te sirve esto procura eliminar la cookie en cuanto le entregues el archivo, porque si no podrá entrar cuantas veces quiera con solo pagar una vez.

Gracias por la respuesta, pero las cookies no son la solucion. El descargar a traves de una puerta (descargar.php) esta solucionado. El problema es cuando alguien teclea directamente una direccion url en el navegador. Ahi, no sirven las cookies, pues no hay codigo por medio.
Un saludo

Huy es verdad. Perdona que no lo habia entendido bien.

Tengo el mismo problema que tú y estaba esperanzado leyendo este topic pensando que encontraría solución...

No me puedo creer que eso no tenga solución!!

Venga, ánimo, alguna cabeza pensante experta en PHP debe encontrar la manera de hacerlo!!

A mi solo se me ocurre (por proponer alguna manera de solucionar...) poner los archivos en un directorio por encima del público (inaccesible por web) y en el momento que se solicite el fichero ubicarlo en un directorio accesible y borrarlo cuando el usuario ya lo haya descargado. El cómo hacer esto operativo ya corre de tu cuenta. Siento no ser más útil, pero estoy en las mismas que tú...

Por cierto, si encontraste la manera de solucionarlo avisa!

Sería eso lo que se hace .. pero nada de "copiar" el archivo temporalmente a algún sitio .. sino tu script PHP sería el que entregue el archivo leyendolo por ruta absoluta (/var/home/sitio.com/archivos .. siendo el "public_html" en: /var/home/sitio.com/public_html donde apunta el "DOcumentRoot" y quedaría disponible todo lo que ahí aparezca por http://www.sitio.com/nose.tal ...)

Nó sé si tu tienes la misma situación que el amigo manuel_mad .. con dos sitios y ejecutables (scripts.php) en uno .. y archivos en otro .. Pero, si quieres implementar esta "comunicación" segura entre ambos .. deberías correr un script para descargas en el servidor que contenga los archivos para controlar autentificación y demás.

Un saludo,