Thomas: Java-Applet für den Dateiupload

Hallo zusammen!

Ich bin gerade daran, einen Script für einen Dateiupload zu schreiben. Da man ja mit dem gewöhnlichen HTML-Formular nur eine Datei auf einmal und nur gerade mal 2MB hochladen kann (Begrenzung vom Provider), habe ich vor, zu einem Java-Applet zu greifen. Zwar habe ich auch schon ein solches Applet benutzt (ZUpload Applet), jedoch stehen da die FTP-Zugriffsdaten gleich - für jeden ersichtlich - im Quellcode. Dies ist in diesem Fall aber zu gefährlich, da zu viele Benutzer, die diese FTP-Daten nicht zu sehen bekommen sollten, auf den Upload zugreifen.

Funktionieren denn eigentlich alle Java-Applets mit FTP, oder gibt es da Alternativen? Welche Applets benutzt ihr denn?

Was ich will, ist auf keinen Fall irgend ein vollautomatisches Applet mit x-tausend Funktionen, sondern es soll möglichst simpel funktionieren: Datei(en) auswählen, hochladen, finito!

Vielen Dank für eure Hilfe!

  1. Hallo,

    warum unbedingt Java? PHP kann das auch.
    http://www.innovanique.de/produkte/ivphpupdeluxe/
    Mal eben nur kurz "gegooglet".

    Gruß Rainer

    1. Moin Moin!

      Hallo,

      warum unbedingt Java? PHP kann das auch.
      http://www.innovanique.de/produkte/ivphpupdeluxe/
      Mal eben nur kurz "gegooglet".

      PHP arbeitet auf der Serverseite, Java-Applets auf der Client-Seite.

      Der Server hat (angeblich) ein 2 MB-Limit.

      Thema verfehlt.

      Alexander

      --
      Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
      1. Hallo,

        hast du richtig gelesen?

        FTP mit PHP. Nix Limit da FTP!

        Gruß Rainer

        1. Hallo,

          hast du richtig gelesen?

          FTP mit PHP. Nix Limit da FTP!

          Wo steht auf der Produktseite was von FTP? Ich sehe da nur einen normalen
          Formular-Upload über HTTP.
          (Es würde technisch mit reinem PHP auch nicht gehen.)

          Gruß
          Slyh

    2. Hallo!

      Vielen Dank für eure schnelle Hilfe!

      Das iVphpUp-Tool habe ich mir einmal angesehen. Soweit ich da geschaut habe, läuft das Ding ohne FTP (siehe auch Beschreibung: "Sie benötigen keinen FTP-Clienten und können von überall auf der Welt Dateien auf dem Server speichern.") und kommt deshalb wegen der 2MB-Limite nicht in Frage.

      Dann werde ich mich wohl mit diesen freigegebenen FTP-Daten rumschlagen müssen.
      Mir kommt allerdings noch in den Sinn, dass ich die Sache so lösen könnte: Ich lege mir einen FTP-Benutzer an, der nur auf seinen eigenen Ordner zugreifen kann. Dort hinein werden dann die Dateien hochgeladen und dann per PHP geholt und in den endgültigen Ordner verschoben.
      Wenn sich dann einer mit diesem FTP-Account anmelden will, stösst er nur auf einen leeren Ordner. Das einzige was er dann machen kann, ist, dort Dateien hochzuladen; und auch dann richtet er damit nichts verheerendes an!
      Dann kann ich auch weiter das ZUpload-Applet benutzen, das gefällt mir nämlich sonst ganz gut!

      Herzliche Grüsse,
      Thomas

      1. Yerf!

        Wenn sich dann einer mit diesem FTP-Account anmelden will, stösst er nur auf einen leeren Ordner. Das einzige was er dann machen kann, ist, dort Dateien hochzuladen; und auch dann richtet er damit nichts verheerendes an!

        Ganz wichtig dabei ist, dass die Dateien im Upload-Folder nicht wieder heruntergeladen werden dürfen! Ansonsten wird dein Server ganz schnell ein Ablageplatz für Dinge die du da garantiert nicht haben willst...

        Gruß,

        Harlequin

        --
        <!--[if IE]>This page is best viewed with a webbrowser. Get one today!<![endif]-->
        1. Moin Moin!

          Yerf!

          Wenn sich dann einer mit diesem FTP-Account anmelden will, stösst er nur auf einen leeren Ordner. Das einzige was er dann machen kann, ist, dort Dateien hochzuladen; und auch dann richtet er damit nichts verheerendes an!

          Ganz wichtig dabei ist, dass die Dateien im Upload-Folder nicht wieder heruntergeladen werden dürfen! Ansonsten wird dein Server ganz schnell ein Ablageplatz für Dinge die du da garantiert nicht haben willst...

          Schwer vorhersagbare Dateinamen und gelöschte X-Bits auf dem Upload-Verzeichnis könnten dabei helfen.

          Insgesamt ist die FTP-Nummer aber großer Murks. Der saubere Weg wäre, die ANGEBLICHE Sperre zu beseitigen. Kann es sein, dass die Sperre nur für ein Upload-Programm des Providers gilt? Oder dass die 2 MB nur ein Standard-Wert sind, den man hochsetzen oder abschalten kann, entweder im eigenen Script oder durch Vertragsänderung? Fragen über Fragen, die der Provider beantworten kann.

          Alexander

          --
          Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
  2. Moin Moin!

    Wenn das Applet eine Chance haben soll, sich per FTP einzuloggen, muß es die Zugangsdaten zum FTP-Server übertragen. Daraus folgt: Die Zugangsdaten müssen im Applet vorhanden sein oder dem Applet per Parameter oder HTTP mitgeteilt werden. Selbst wenn das verschlüsselt passiert, muß das Applet den Entschlüsselungsalgorithmus enthalten.

    Einige mögliche Angriffsvektoren:
    * Applet decompilieren
    * Man-in-the-Middle-Angriff per Proxy
    * DNS-Eintrag für den FTP-Server lokal überlagern (z.B. per lokalem DNS-Server oder /etc/hosts) und einen gefakten FTP-Server aufsetzen, der die Zugangsdaten loggt.
    * Netzwerk-Verkehr abhören

    Kurz gesagt: Du wirst der ganzen Welt deine FTP-Zugangsdaten mitteilen. Dumme Idee.

    Bitte den Provider, die Upload-Sperre zu beseitigen. Das könnte ggf. eine Vertragsänderung nach sich ziehen.

    Alexander

    --
    Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".