Atención
Mientras tanto, se ha interrumpido el desarrollo de naw_securedl. Los desarrolladores recomiendan utilizar en su lugar la extensión secure_downloads. Consulte el manual de esta extensión para obtener información sobre la gama de funciones, la instalación y la configuración.
Introducción
A veces puede ser necesario y útil proteger hasta cierto punto los archivos que se ofrecen para descarga en un sitio web. Por ejemplo, los archivos PDF con datos internos de la empresa sólo podrían ponerse a disposición de determinados grupos de usuarios.
Aunque TYPO3 ofrece la opción de hacer que las páginas o los elementos de contenido estén disponibles sólo para los usuarios registrados del front-end, la descarga de archivos no puede ser completamente segura de esta manera. Incluso si el enlace a la descarga se encuentra en un área segura del sitio web, el archivo en sí no está protegido. Cualquiera que descubra el enlace de cualquier manera puede descargar este archivo directamente.
Aquí es donde entra en juego la extensión naw_securedl. Con la ayuda de esta extensión, cualquier tipo de archivo y carpeta del espacio web puede protegerse contra una descarga directa. Para ello, la extensión redirige los enlaces directos a los archivos mediante un script. Además, los directorios a proteger pueden protegerse contra el acceso directo con unas pocas líneas en un archivo .htaccess. Aunque ahora se conozca el enlace al archivo, una llamada directa a este enlace sólo dará lugar a un mensaje de error.
Por lo tanto, la combinación de grupos de usuarios frontales y naw_securedl garantiza una protección relativamente segura de los archivos.
Configuración
La extensión se configura directamente en el gestor de extensiones. Para ello, busque la clave de extensión en el área de extensiones instaladas. En TYPO3 6.x, haga clic en el icono de la rueda dentada en la columna de la derecha.
En TYPO3 4.x, haga clic en el nombre de la extensión y, a continuación, en la pestaña "Configuración".
Opciones de configuración
Las siguientes opciones están disponibles en el Gestor de extensiones:
forcedownloadtype Lista de tipos de archivo que no deben abrirse dentro del navegador, sino que sólo deben ofrecerse como descarga. Las extensiones de archivo están separadas por el símbolo |.
Ejemplo: pdf|doc|xls|rar|tgz|tar|gz
additionalMimeTypes Lista de tipos MIME adicionales a proteger. Ejemplo:txt|text/plain,html|text/html
forcedownload La activación de la casilla de verificación de esta opción hace que los tipos de archivo especificados anteriormente se descarguen en lugar de mostrarse en línea en el navegador.
filetype Lista de tipos de archivo a proteger, separados por el símbolo de la tubería | Por defecto:pdf|jpe?g|gif|png|doc|xls|rar|tgz|tar|gz
securedDirs Especifica qué directorios deben protegerse. Por defecto:typo3temp|fileadmin|uploadsAtención: en TYPO3 6.x, la protección de typo3temp garantiza que las imágenes ya no puedan mostrarse ampliadas en un lightbox, por ejemplo, porque la Capa de Abstracción de Archivos (FAL) almacena las imágenes ya procesadas en el directorio typo3temp/_processed_/.
También puede especificar subdirectorios aquí, por ejemplo: fileadmin/user_upload/secured/|uploads En este caso, sólo las carpetas estaríanaseguradas y las subidas estarían protegidas.
dominio Aquí puede introducirse el dominio; no es necesario para los enlaces internos.
Registrar cada acceso a un archivo Activando esta casilla se garantiza el registro de las descargas; los datos pueden consultarse a través del módulo backend Tráfico de descargas.
Normalmente no es necesario modificar el resto de parámetros. Encontrará más información sobre estos parámetros en la documentación de la extensión.
Crear un directorio para los contenidos protegidos (opcional)
Si no desea proteger todo el directorio fileadmin/, también puede proteger uno o varios subdirectorios.
Para ello, utilice el módulo de lista de archivos para crear un directorio protegido debajo de user_upload, por ejemplo. A continuación, puede cargar en este directorio los archivos que desee proteger.
A continuación, debe introducir la ruta a este directorio en el campo securedDirs del gestor de extensiones (véase más arriba).
Proteger el directorio contra descargas directas
Tras estos pasos, los enlaces a los archivos en el frontend ya están redirigidos a través del script. No obstante, aún se podrían descargar los archivos si se introduce la ruta directamente en la barra de direcciones del navegador.
Para evitarlo, es necesario crear un archivo .htaccess en los directorios a proteger, que impida la descarga directa.
naw_securedl ya viene con algunos archivos de ejemplo. Estos se encuentran en el directorio typo3conf/ext/naw_securedl/res/
Puede, por ejemplo, copiar el archivo _.htaccess_deny al directorio a proteger usando el Midnight Commander en el shell y luego renombrar este archivo a .htaccess.
Este archivo .htaccess garantiza que determinados tipos de archivos no sean entregados directamente por el servidor web. También se presta atención a las diferentes grafías de los tipos de archivo.
El ejemplo .htaccess tiene el siguiente contenido:
<FilesMatch "\.([Pp][Dd][Ff]|[Jj][Pp][Ee]?
[Gg]|[Gg][Ii][Ff]|[Pp][Nn][Gg]|[Dd][Oo][Cc]|[Xx][Ll][Ss]|[Rr][Aa][Rr]|[Tt][Gg][Zz]|[Tt][Aa][Rr]|[Gg]$
Order deny,allow Denegar de todos Permitir de ninguno </FilesMatch>
Generar página de error 403
Si ahora se intenta llamar a un archivo introduciendo el enlace directo en la línea de dirección del navegador, sólo se genera un error 403 (acceso prohibido) y se muestra al visitante la página de error del servidor web.
Sin embargo, es mejor mostrar al visitante una página de error separada, quizás explicándole por qué no puede descargar el archivo directamente.
Para ello, puede crear una página normal en el backend de TYPO3 (no visible en el menú). El nombre de la página es, por supuesto, arbitrario.
Para garantizar que el servidor web también entregue esta página en caso de error 403, se requiere una línea adicional en el archivo .htaccess en el directorio raíz del sitio web, es decir, no en el directorio a proteger, sino donde se encuentra el index.php de la instalación de TYPO3.
La URL de la página de error se almacena en este archivo .htaccess.
Si se utiliza RealUrl o CoolUri, por ejemplo
ErrorDocument 403 http://name-der-domain.de/zugriff-verweigert/
Sin RealUrl/CoolUri según el patrón
ErrorDocument 403 http://name-der-domain.de/index.php?id=xy
Donde xy sería el ID de la página de error generada anteriormente.
"Ocultar" el directorio protegido de los motores de búsqueda
Si además desea excluir los directorios protegidos de la indexación por parte de los motores de búsqueda, cree un archivo llamado robots.txt en el directorio raíz del sitio web.
Este archivo puede tener, por ejemplo, el siguiente contenido
User-agent: * Disallow: /fileadmin/user_upload/secured/ Disallow: /fileadmin/protected_directory/
Esto indica a las arañas de los motores de búsqueda que no incluyan los directorios nombrados y los archivos que contienen en el índice de búsqueda. La mayoría de los motores de búsqueda, como Google o Bing, también siguen estas directrices.
El contenido de esta página se ha traducido automáticamente.