Wie sichert man per HTTP abrufbare Dokumente davor, von unbefugten heruntergeladen zu werden? Das kann man richtig machen -- oder falsch.

Die Methoden

Ganz grundlegend gibt es eine Hand voll "Standardideen", wenn es darum geht, Dateien von unbefugtem Zugriff zu sichern:

Nachlese

Insbesondere die letzte Methode bedarf noch einer Sonderbetrachtung. Bei den erstvorgestellten Methoden ist klar, dass die Dokumente nicht oeffentlich, sondern einem gesonderten Nutzerkreis (den Inhabern eines passenden Logins) zugaenglich sind. Im dritten Fall liegt dies anders: Sich auf die "Geheimhaltung" einer URL zu verlassen ist mindestens fahrlaessig: Siehe auch http://www.heise.de/newsticker/meldung/Daten-von-tausenden-Studenten-der-Uni-Magdeburg-im-Netz-210354.html, http://hastuzeit.de/2008/datenleck-an-der-uni-magdeburg/.

Und wer die Groteske liebt, der schuetzt ein CMS-generiertes File-Listing und verhindert ein Listing einzelner Ordner -- aber laesst die eigentlichen Dateien ungeschuetzt und versieht sie mit einem leicht zu erratenden Schema. Ob von denjenigen die das Listing sehen duerfen verlangt werden kann, ueber die URLs Verschwiegenheit zu waren, duerfte in schwierige Debatten ausufern. Es ist sicherlich einfacher, eine richtige Absicherung zu verwenden.

Zum Schluss noch ein Lese- und ein Surftipp: pdfs-richtig-schwaerzen.html, http://www.asta.uni-rostock.de/stura/protokolle. Viel Spass!

Stichworte:


Impressum