einsiedler: FONT Ordner per .htaccess vor Zugriff schützen

Hallo liebe Forumer, heute hab ich mal folgende Frage: Ich möchte meinen Ordner mit Web-Fonts vor einem Zugriff (downloaden etc.) schützen. Ich habe einen Web-Font für teuer Geld gekauft und ich würde nicht gerne wollen das ihn jeder downloaden kann. Wie kann ich das nun den Ordner mit .htaccess schützen.

Ich habe mal folgendes versucht, weiß aber nicht ob dies richtig ist:

RewriteEngine On
RewriteCond %{HTTP:Origin}  !^$|http(s)?://(www\.)?tassilosturm\.de$ [NC]
RewriteRule \.(woff2|woff|eot|ttf|svg)$ - [NC,L]
RewriteCond %{HTTP_REFERER} !.
RewriteRule \.(woff2|woff|eot|ttf|svg)$ - [F,NC,L]
Options -Indexes

b) Wo muss ich dieses .htaccess File "plazieren", da wo auch mein index.html ist, also ganz vorn oder im selben Ordner mit "web-fonts"?

Vielen Dank für eure Hilfe.

Der misanthrop

  1. Hi there,

    Ich möchte meinen Ordner mit Web-Fonts vor einem Zugriff (downloaden etc.) schützen. Ich habe einen Web-Font für teuer Geld gekauft und ich würde nicht gerne wollen das ihn jeder downloaden kann. Wie kann ich das nun den Ordner mit .htaccess schützen.

    Entweder du brauchst die Web-Fonts, um damit eine Seite zu behübschen, dann landet der Font ohnehin automatisch auf dem Rechner des Besuchers (wenn Du ihn richtig eingebunden hast) oder aber Du brauchst den Font nicht für einen Webauftritt, dann hat er auf einem Webserver auch nichts verloren. In beiden Fällen jedenfalls wirst Du da mit .htaccess so oder so nichts ausrichten...

  2. Wenn du dem Server verbietest, den Font auszuliefern, bekommt ihn auch der Browser nicht, wenn er ihn für deine Seite laden möchte.

    Wenn es den Aufwand lohnt, geht vermutlich dieses Konzept:

    Der Font liegt in einem Ordner, der vom Web nicht erreicht werden kann.

    Wird deine Seite aufgerufen, generierst du eine Kopie des Font in einen Web-Ordner unter einem zufälligen Namen.

    Mit diesem zufälligen Namen fordert deine Webseite den Font an und bekommt ihn.

    Du löscht diese Datei nach ein paar Sekunden / Minuten wieder.

    So hat zwar der Browser den Font einmal geladen, aber ein weiteres Mal ist es nicht möglich.

    Linuchs

    1. Hallo Linuchs,

      vorab: Die negative Bewertung stammt nicht von mir.

      Zu deiner Antwort:

      Wenn du dem Server verbietest, den Font auszuliefern, bekommt ihn auch der Browser nicht, wenn er ihn für deine Seite laden möchte.

      Korrekt.

      Wenn es den Aufwand lohnt, geht vermutlich dieses Konzept:

      Der Font liegt in einem Ordner, der vom Web nicht erreicht werden kann.

      Wird deine Seite aufgerufen, generierst du eine Kopie des Font in einen Web-Ordner unter einem zufälligen Namen.

      Mit diesem zufälligen Namen fordert deine Webseite den Font an und bekommt ihn.

      Das heißt, dass der temporäre Name der Datei irgendwo in CSS auftaucht.

      Du löscht diese Datei nach ein paar Sekunden / Minuten wieder.

      So hat zwar der Browser den Font einmal geladen, aber ein weiteres Mal ist es nicht möglich.

      Und was passiert, wenn ich im Browser F5 drücke oder die Webseite komplett speichere? Dann geht doch das ganze Spiel wieder los, es wird auch eine neue Kopie der Font-Datei übermittelt.

      Mit anderen Worten: In dem Moment, in dem der Browser eine Ressource erhält, ist das Kind bereits in den Brunnen gefallen. Das WWW ist nun einmal kein Fernsehen.

      Viele Grüße
      Robert

      1. Hallo Robert,

        vorab: Die negative Bewertung stammt nicht von mir.

        von mir auch nicht.

        Das WWW ist nun einmal kein Fernsehen.

        Aber selbst beim Fernsehen gilt heute im Digital-Zeitalter: Was mir als Video-Stream angeboten wird, kann ich auch speichern, anstatt nur "live" anzuzeigen. Also eigentlich dasselbe in Grün.

        Ciao,
         Martin

        --
        Kunst beginnt da, wo bei den meisten das Können aufhört.
      2. Das heißt, dass der temporäre Name der Datei irgendwo in CSS auftaucht.

        Ja, <style> innerhalb der HTML-Datei

        Und was passiert, wenn ich im Browser F5 drücke

        HTML wird neu angefordert, eine Font-Kopie mit neuem Namen erstellt und geladen. Problem?

        oder die Webseite komplett speichere?

        Im FF habe ich [Datei] - [Seite speichern unter]. Betrifft nur die html-Datei. Wie kann man „komplett“ speichern? Früher ging das, da wurde ein Verzeichnisbaum angelegt mit *.jpg usw.

        Mit anderen Worten: In dem Moment, in dem der Browser eine Ressource erhält, ist das Kind bereits in den Brunnen gefallen.

        Soll doch. Wer Unfug mit dem geheimen Font treibt, möge ersaufen.

        Linuchs

        1. Und was passiert, wenn ich im Browser F5 drücke

          HTML wird neu angefordert, eine Font-Kopie mit neuem Namen erstellt und geladen.

          Problem?

          Vermutlich(!) nicht. Was meinst Du zu "History-Back" und der Client hat zwar das Markup noch im Cache, den Font aber nicht mehr?

          1. Und was passiert, wenn ich im Browser F5 drücke

            HTML wird neu angefordert, eine Font-Kopie mit neuem Namen erstellt und geladen.

            Problem?

            Vermutlich(!) nicht. Was meinst Du zu "History-Back" und der Client hat zwar das Markup noch im Cache, den Font aber nicht mehr?

            Ich hätte da gerne mal von den Bewertenden eine technische Erläuterung zum Problem, bzw. im speziellen zu meiner These. Man lernt ja immer gerne dazu 😉

    2. Hello,

      als Diskussionsgrundlage schon mal brauchbar. ;-)

      Man muss aber nicht die Fontdatei selbst kopieren. Es reicht, eine virtuelle Ressource (PHP-Script) zu hinterlegen, das mittels eines Zertifikats (Einmalkey) den Download gestattet.

      Das verhindert das Deeplinking der Fonts.
      Das Kopieren durch geübte Webprogrammierer wird dadurch selbstverständlich nicht verhindert.

      Bleiben für mich die letzten beiden Fragen @einsiedler zum Schluss:

      1. Wurde der Font (a) ausschließlich für Dich entwickelt/designed, oder (b) werden Rechte daran an Jedermann angeboten?

      2. Hat der Font überhaupt soviel künstlerische Höhe, dass er urheberrechtlich schutzfähig ist?

      Wenn 1a und 2 zutreffen, kann Dir gar nichts besseres passieren, als dass der Font widerrechtlich deep linked oder kopiert wird. Je öfter, desto mehr Schadenersatz ist für Dich möglich.

      Du müsstest dann selber nur eine geeignete Lizenz besitzen, sonst stehen die Forderungen dem Urheber zu.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
  3. Technisch wurde es ja schon ausgeführt: Hoffnungsloses Unterfangen. Du könntest eine Menge Tricksereien anstellen, mit denen Du Dir eine Menge Probleme einfangen und kaum etwas erreichen würdest.

    Nur aus Interesse einmal gefragt: wie viel hat Dich Dein Font denn überhaupt gekostet?

    1. Guck mal: mein FONT

      1. Guck mal: mein FONT

        OK. Hast jetzt nicht erwähnt, welches Paket Du gewählt hast. Aber gehen wir mal vom Komplettpaket für 125,99 Euronen aus. Das ist schon eine Menge Geld für einen Font für eine einfache Homepage. Für mich nicht nachvollziehbar, warum man für einen (Web!)-Font überhaupt Geld in die Hand nimmt, aber sei es drum.

        Warum investierst Du überhaupt Zeit und Energie, um eine Investition von 125,99 € gegen etwaigen Diebstahl zu schützen, der Dir persönlich nicht einmal schaden würde?

        Ein Diebstahl, der auch von einer anderen Homepage / einer illegalen Börse erfolgen könnte?

        Für mich klingt das nach Zeitverschwendung, selbst wenn es eine technische Möglichkeit gäbe, das zu implementieren.

        1. Hallo,

          Für mich klingt das nach Zeitverschwendung, selbst wenn es eine technische Möglichkeit gäbe, das zu implementieren.

          sehe ich ähnlich. Das ist viel Aufwand mit wenig bis gar keinem Nutzen. Ich würde es schon eher verstehen, wenn jemand keine Vorkehrungen trifft, um die Datendiebe dann juristisch zu verfolgen und Schadenersatz einzuklagen.

          Nur: Wie kann man den Schaden beziffern?
          Und wie kann man die Gauner überhaupt erwischen?

          IMO ein hoffnungsloses Unterfangen.

          So long,
           Martin

          --
          Kunst beginnt da, wo bei den meisten das Können aufhört.
          1. Ich würde es schon eher verstehen, wenn jemand keine Vorkehrungen trifft, um die Datendiebe dann juristisch zu verfolgen und Schadenersatz einzuklagen.

            Passiert bei Fonts genau so. Scheint sich zu lohnen.

          2. Und wie kann man die Gauner überhaupt erwischen?

            Meines Wissens gibt es Bots, die genau nach dieser Situation graben.

            1. Hallo Mitleser,

              gabs nicht sogar mal bei Google die Möglichkeit, nach "wer verlinkt auf Adresse example.org/fonts/dingsbums.woff" zu suchen?

              Was natürlich nicht richtig weiterhilft, wenn der Klaumops die dingsbums.woff in dinxbumps.woff umbenannt hat.

              Rolf

              --
              sumpsi - posui - clusi
              1. Hello,

                Hallo Mitleser,

                gabs nicht sogar mal bei Google die Möglichkeit, nach "wer verlinkt auf Adresse example.org/fonts/dingsbums.woff" zu suchen?

                Was natürlich nicht richtig weiterhilft, wenn der Klaumops die dingsbums.woff in dinxbumps.woff umbenannt hat.

                Gucken Suchmaschinen nicht auch den Content an und indizieren den? Da müsste ein Webfont auch wiedergefunden werden, wenn seine Datei umbenannt wurde, genauso, wie das auch bei der (kostenpflichtigen) Bildersuche geht.

                Das Missachten von Rechten sollte also ziemlich dumm sein. Es muss aber trotzdem erst geprüft werden, ob überhaupt Nutzungs-/Verwertungsrechte etc. aufgebaut worden sind. Nach sehr weit verbreiteter Meinung sind (normale) Fonts, sogenannte Brotschriften, nicht schutzfähig, auch wenn das immer wieder suggeriert wird. Allenfalls kann ein Geschmacksmusterschutz aufgebaut werden, der dann aber einetragen sein müsste und nach längstens acht Jahren erlischt.

                Glück Auf
                Tom vom Berg

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
              2. gabs nicht sogar mal bei Google die Möglichkeit, nach "wer verlinkt auf Adresse example.org/fonts/dingsbums.woff" zu suchen?

                AFAIR gab es das mal, ja. Mittlerweile nicht mehr.

                Was natürlich nicht richtig weiterhilft, wenn der Klaumops die dingsbums.woff in dinxbumps.woff umbenannt hat.

                Wie der Tom schon andeutet: ich vermute stark, dass die fraglichen Bots die Datei selbst betrachten, nicht den Dateinamen.

        2. @@Mitleser

          Für mich nicht nachvollziehbar, warum man für einen (Web!)-Font überhaupt Geld in die Hand nimmt

          Weil Schriftgestalter auch Menschen sind, die für ihre Arbeit entlohnt werden möchten.

          LLAP 🖖

          --
          „Man kann sich halt nicht sicher sein“, sagt der Mann auf der Straße, „dass in einer Gruppe Flüchtlinge nicht auch Arschlöcher sind.“
          „Stimmt wohl“, sagt das Känguru, „aber immerhin kann man sich sicher sein, dass in einer Gruppe Rassisten nur Arschlöcher sind.“

          —Marc-Uwe Kling
          1. Für mich nicht nachvollziehbar, warum man für einen (Web!)-Font überhaupt Geld in die Hand nimmt

            Weil Schriftgestalter auch Menschen sind, die für ihre Arbeit entlohnt werden möchten.

            Komplette Zustimmung meinerseits. Das habe ich ziemlich doof formuliert.

  4. Ich habe einen Web-Font für teuer Geld gekauft und ich würde nicht gerne wollen das ihn jeder downloaden kann.

    Nein. Du hast (wie wohl andere auch) das nicht exklusive Recht gekauft, diese Font-Dateien auf und in Deinem Webauftritt zu benutzen.

    Nach Firmen oder Personen zu suchen und zivilrechtlich auf Unterlassung und Schadensersatz in Anspruch zu nehmen, welche jetzt diese Dateien von Deinem oder einem anderen Webauftritt herunterladen oder verlinken um diese auf der eigenen Webseite zu benutzen ohne dafür zu bezahlen ist das Problem des "Rechteinhabers". Und geh mal davon aus, dass er dafür ebenso Dienstleister hat wie für den Verkauf der nicht exklusiven Nutzungsrechte per Kreditkarte.

  5. Hallo,

    darüber, ob du dafür Sorge tragen musst, das die Fonts von deiner Seite nicht „geklaut“ werden können, haben sich die anderen ja schon geäußert.

    Ob der Codeschnippsel für die .htccess das macht was ich vermute, den Zugriff auf einige Dateien über den Referer zu regeln, weiß ich nicht. Bei mir sieht der Schutz vor in meinem Fall Traffic-Klau anders aus.

    Ich habe die .htaccess-Datei im Root, also im gleichen Ordner wie die index.html liegen.

    Gruß
    Jürgen

  6. Hallo liebe Forumer, heute hab ich mal folgende Frage: Ich möchte meinen Ordner mit Web-Fonts vor einem Zugriff (downloaden etc.) schützen.

    Wie kann ich das nun den Ordner mit .htaccess schützen.

    RewriteCond %{HTTP:Origin}  
    

    Jeder HTTP-Header ist leicht zu fälschen. das gilt auch für Cookies:

    wget --header="Origin: http://tassilosturm.de" … http://tassilosturm.de/pfad/datei" 
    

    Und längst nicht nur für wget, sondern auch für Alternativen und Libs wie curl.

    RewriteCond %{HTTP_REFERER} !.
    

    Damit dürften sehr viele Deinen Font nie sehen:

    https://www.heise.de/newsticker/meldung/Firefox-59-verschleiert-Referrer-fuer-besseren-Datenschutz-3960175.html

    Options -Indexes
    

    Ja. Sollte man da wohl machen.

    1. Hello,

      Jeder HTTP-Header ist leicht zu fälschen. das gilt auch für Cookies:

      Den Cookie oder das Token (als URL-Parameter) kann man aber nach einmaliger Benutzung verfallen lassen. Das macht einfaches Deeplinking unmöglich.

      Selbstverständlich kann sich der Wissende ein gültiges Token für einen manuellen Download generieren lassen. Da man aber sinnvollerweise immer etwas Plausibles ausliefert, muss der Grabber erst einmal darauf kommen, dass da ein "Once Usable Token" im Spiel sein könnte.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
    2. Hallo

      RewriteCond %{HTTP_REFERER} !.
      

      Damit dürften sehr viele Deinen Font nie sehen:

      https://www.heise.de/newsticker/meldung/Firefox-59-verschleiert-Referrer-fuer-besseren-Datenschutz-3960175.html

      ich dachte, diese Zeile sorgt dafür, dass „kein Referer“ kein falscher Referer ist.

      Gruß
      Jürgen

    3. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

      Ich möchte meinen Ordner mit Web-Fonts vor einem Zugriff (downloaden etc.) schützen.

      das erinnert mich an eine Geschichte bei meinem Arbeitgeber ca. 2009.
      Wir hatten eine Serviceseite (Glossar) mit diversen Bildchen aufgepeppt. Das waren kleine teilweise animierte GIFs.

      Die haben dann wohl Anderen so gut gefallen, dass sie in kürzester Zeit auf mehr als 100 Seiten erschienen (die wir finden konnten), davon die meisten als Deeplink. Das Deeplinking habe ich zwar nicht verstanden, weil wir dadurch ja derewn Zugriffszahlen ermitteln konnten, aber was solls.

      Mein Chef wollte da nicht mit Klage reagieren, sich das aber auch nicht reaktionslos gefallen lassen. Wir haben dann nach der Methode mit den Tokens alternative Icons ausliefern lassen, in denen dann stand: "geklaut bei www.example.com".

      Die Meisten haben es lange nicht gemerkt.

      Die Methode hat gut funktioniert ;-)

      Von Frameworks hat man damals noch nicht so viel gesprochen. Aber ich frage mich, ob heutige Frameworks sowas überhaupt unterstützen würden, ohne dass man sie vollkommen umprogrammieren müsste?

      Spirituelle Grüße
      Euer Robert

      --
      Möge der Forumsgeist ewig leben!