Seguridad en descargas privadas

Moises22 · #1 (**permalink**) 11/05/2005, 09:23

Buenas a todos, he colocado este tema aqui porque la web que tengo esta hecha en ASP, y quisiera que las posibles soluciones al problemas vayan orientadas en este lenguaje.

Tengo una web que contiene una parte privada con login/password con confirmacion mediante la cual se administra la gestion de usuarios. Estos usuarios pueden acceder a una base de datos sumamente solicitada en la que se encuentran cientos de articulos cientificos bastante inportantes en formato pdf.

En la base de datos solo se encuentra la descripcion de estos articulos, es desir, autor, año, titulo,... para que se puedan gestionar las sucesivas busquedas por campos, autor...

Los articulos no se encuentran en la base de datos sino en un directorio que no se encuentra en el mismo servidor, sino en un directorio de otro servidor que no tiene nada que ver con la web. La razon es porque es muy rapido este otro servidor y porque me ofrecen 5 Gb para los archivos.

Mi idea era que en la base de datos se hayara la ruta completa donde se hospeda cada archivo, de manera que apuntara a él, pero...

El problema es que solo quiero que se lo puedan bajar los usuarios privados de la web, de manera que no se pueda coger la direccion del archivo y ponerla en el navegador para bajarselo, si no que solo los usuarios privados puedan coger el archivo.

¿Como podria hacerlo, para que solo los usuarios privados puedan acceder a los archivos?

Acepto consejos,sugerencias... GRACIAS

Muzztein · #2 (**permalink**) 11/05/2005, 09:37

dos archivos 01.asp y 02.asp

01.asp

Código:

<html>

<head>
<title>01.asp</title>
</head>

<body>

<a href="02.asp">aqui</a>
</body>

</html>

en 02.asp

Código:

<%
response.redirect("ftp://ftp.download.com/pub/win95/utilities/filecomp/winzip90.exe")
%>

y ve si te sirve

Moises22 · #3 (**permalink**) 11/05/2005, 10:29

no comprendo el sistema que propones. Dises de poner un enlace en la pagina que redireccione al archivo???? Si es asi no valdria porque una vez redireccionado en el gestor de descarga t aparece la direccion del archivo y si se sabe esta direccion, se podria descargar desde cualquier sitio.

Por cierto creo que no poseo derechos ftp, solo http. Es un servidor apache por si sirve... GRACIAS POR ADELANTADO

Moises22 · #4 (**permalink**) 11/05/2005, 16:14

Ha nadie se le ocurre ninguna forma??? Ayudaaaaa

sjam7 · #5 (**permalink**) 11/05/2005, 16:50

usa el buscador, acaban de solucionarme una duda parecida, para eso esta el buscador

Moises22 · #6 (**permalink**) 11/05/2005, 16:54

por donde busco??? dime que referencia pongo, dame el enlace, o dime que pongo en el buscador porque no he encontrado nada parecido buscando

sjam7 · #7 (**permalink**) 11/05/2005, 16:56

http://www.forosdelweb.com/showthrea...light=descarga

Moises22 · #8 (**permalink**) 11/05/2005, 17:34

He visto el post que dejastes... muy bueno, casi se adapta a lo que necesito.
En mi caso no hacen falta el tema de pago... lo unico que quiero es un script o solucion que enmascare o oculte la direccion final de los archivos pdf. Poque estos no pueden ser controlados de ninguna forma directamente, ya que se encuentran ubicados en una carpeta aislada.

Mi peticion es aislar estos archivos y que desde la web se pueda acceder a ellos siendo usuario privado, pero que no se pueda saber la direccion de estos archivos de ninguna forma... ESE ES EL PROBLEMA

Si pudierais mostrarme un Scrip de ejemplo lo agradeceria mucho

sjam7 · #9 (**permalink**) 11/05/2005, 17:35

y ya probaste la solucion del enlace?

Moises22 · #10 (**permalink**) 11/05/2005, 17:44

pero en esa solucion, una vez se ha bajado el archivo, previo pago, ya se conoce la ruta. Es desir puedo bajarmelo mas veces, yo quiero esconderlo totalmente, de manera que se pueda bajar el archivo pero no se sepa la direccion en el gestor de descarga

sjam7 · #11 (**permalink**) 11/05/2005, 17:47

a ver, precisamente yo estoy intentando lo mismo en una web, y no he veo la url despues de descargarlo usando la solucion que da UZ en el post que te menciono y algunas trampillas mas

Moises22 · #12 (**permalink**) 11/05/2005, 17:50

podrias pegar el scrip comentado aqui?????

Seria de suma ayuda, pero por favor comentalo un poquillo, Y MUCHAS GRACIAS POR IR RESPONDIENDOME

sjam7 · #13 (**permalink**) 11/05/2005, 18:00

Código:

<%
'Tomo los campos para sacar info del archivo de una BD
categoria=request.querystring("cat")
producto=request.querystring("prod")

'Conecto con la BD
RS = Server.MapPath("bd.mdb")
Set conexion = Server.CreateObject("ADODB.Connection")
conexion.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & RS & ";"
Set RS = Server.CreateObject("ADODB.Recordset")

SQL = "SELECT * FROM productos WHERE id = "& producto
RS.Open sql, conexion,1,1

'Obtengo la pagina de donde viene el visitante
vienen= request.ServerVariables("HTTP_REFERER")

if not RS.eof then
'Aqui en este campo esta el nombre del archivo...solo el nombre
prod=rs("archivo")

'Verifico si el visitante viene de la pagina que debe venir para poder descargar el archivo, si viene de otra no lo puede bajar
If prod <> "" and (instr(1,vienen,"productos.asp") or instr(1,vienen,"apuestas")) then

	Response.ContentType = "application/x-unknown" ' arbitrary 

'Directorio donde estan los archivos mas el nombre del archivo
	FPath = server.mappath ("archivo\" & prod)
	Response.AddHeader "Content-Disposition","attachment; filename=" & prod

	Set adoStream = CreateObject("ADODB.Stream") 
	adoStream.Open() 
	adoStream.Type = 1 
	adoStream.LoadFromFile(FPath) 
	Response.BinaryWrite adoStream.Read() 
	adoStream.Close 
	Set adoStream = Nothing 

Else

'si no viene de donde debe venir se regresa al index
response.redirect "index.asp"
End if
Response.End

else
response.write request.ServerVariables("PATH_INFO")

end if
rs.close
set rs=nothing
%>

Moises22 · #14 (**permalink**) 11/05/2005, 18:15

Response.AddHeader "Content-Disposition","attachment; filename=" & prod

Set adoStream = CreateObject("ADODB.Stream")
adoStream.Open()
adoStream.Type = 1
adoStream.LoadFromFile(FPath)
Response.BinaryWrite adoStream.Read()
adoStream.Close
Set adoStream = Nothing

Esta parte del codigo que es lo que ase??? a ver si me lo puedes comentar, lo otro me ha quedado muy clarito. BUEN METODO!!!!

POR CIERTO EN ESTE CASO LOS PDFs no estan dentro de ninguna base de datos no????

sjam7 · #15 (**permalink**) 11/05/2005, 18:18

no, en la base de datos esta solo el nombre y lo otro lo que hace es generar que el archivo se descargue y no que se abra ademas de cubrir la url

Moises22 · #16 (**permalink**) 12/05/2005, 01:51

Que hace exactamente esto??? Si alguien me lo puede comentar.... gracias

trasgukabi · #17 (**permalink**) 12/05/2005, 02:04

en la biblioteca de funciones puse hace algun tiempo una función que lo que hace es copiar el archivo a un directorio temporal, descargarlo de ahí y después borrarlo. Está hecho para imágenes, pero con un poco de imaginación lo puedes adaptar. Mira a ver, igual te vale
http://forosdelweb.com/showpost.php?...1&postcount=58