if (isset($_GET['tan'])){
   $tan = preg_replace('/[^a-f0-9]/', '', $_GET['tan']);
   $check = @unlink('tan/'.$tan);
   if ($check === true) {
      $basedir = '/home/downloads/';
      $datei = 'datei.zip';
      $filename = sprintf('%s/%s', $basedir, $datei);
      header('Content-Type: application/octet-stream');
      $save_as_name = basename($datei);
      header('Content-Disposition: attachment; filename='.$save_as_name);
      readfile($filename);
   } else {
      echo 'TAN war FALSCH!';
   }
exit;
}

Dazu noch in das Verzeichnis tan einige leere Dateien mit den Dateinamen
246e238a14fcbe127c16add83492f2ff63ea63d8
b7c39fd38a24e8c5a79f89b22c890bc36b480528
ea072e3a66c938ff2a23aff99c28a11606487ca4
...
kopieren und schon können Downloadlinks nach dem folgenden Muster verteilt werden:
http://download/?tan=246e238a14fcbe127c16add83492f2ff63ea63d8


Die Aufgabenstellung war die folgende: Da möchte jemand digitale Inhalte verkaufen, diese aber erst nach erfolgreicher Bezahlung zur Verfügung stellen. Da pro Jahr nur mit einer Handvoll Bestellungen zu rechnen ist, ist eine automatische Abwicklung viel zu aufwändig. Der Versand eines Downloadlinks per E-Mail ist eine durchaus praktikable Lösung.

Meine Idee dazu ist das TAN-Verfahren wie es beim Online-Banking Verwendung findet.


Meine TAN besteht einfach aus einer leeren Datei, deren Dateiname ein Hash ist, also Ziffern von 0 bis 9 und Buchstaben von a bis f. Das preg_replace sorgt dafür, dass nichts anderes angenommen wird, als diese Zeichen. Per unlink wird die TAN bzw. die Datei gelöscht. Konnte die Datei erfolgreich gelöscht werden, so war die TAN korrekt, wenn nicht, dann eben nicht — ganz einfach. War die TAN korrekt, startet automatisch der Download. Damit der Link zur Datei zum einen nicht in dem Download-Manager des Browsers erkennbar ist und zum zweiten die Datei außerhalb von htdocs liegen kann und nur mit Script runtergeladen werden kann, habe ich mich hiervon inspirieren lassen, bzw. den größen Teil daraus entnommen: http://www.php-faq.de/q-datei-download.html


Wenn in ein paar Jahren die TANs aufgebraucht sind, dann müssen nur Dateien mit entsprechendem Dateinamen in das tan-Verzeichnis kopiert werden. :O)


Update: 04.02.2011 – 13:43 Uhr

Konstruktive Kritik und etwas Nachdenken hat nun die preAlpha-Version zur 1xDownloadLink-V.2011.02 erhoben. ;O)

if (isset($_GET['tan'])){
   $tan = preg_replace('/[^a-f0-9]/', '', $_GET['tan']);
   $check = file_exists('tan/'.$tan);
   if ($check === FALSE) {
      echo 'TAN war FALSCH!';
   } else {
      unlink('tan/'.$tan);
      header('Content-Type: application/octet-stream');
      header('Content-Disposition: attachment; filename=datei.zip');
      header('Content-Length: 2330');
      readfile('/Applications/MAMP/downloads/datei.zip');
   }
}
exit;

GET-Request

Eine Website zu laden, deren URL komplett mit allen übertragenen Parametern in der Adresszeile des Browsers angezeigt wird, ist mit PHP sehr einfach möglich.

$seite = file_get_contents('http://sld.tld/?x=1&y=2');
$datei = fopen('file.txt', 'w');
fputs($datei, $seite);
fclose($datei);

Die Website http://sld.tld/?x=1&y=2, bzw. der Quellcode der im Browser angezeigt werden würde, wird in der Datei file.txt gespeichert.

POST-Request

Werden in der Adresszeile allerdings nicht alle übertragenen Parameter angezeigt, dann muss schon etwas mehr Aufwand betrieben werden, um die Seite speichern zu können.

$post = array(
  'var1' => 'a',
  'var2' => 'b',
  'var3' => 'c'
);

$datei = fopen('file.txt', 'w');
fputs($datei, $seite);
fclose($datei);


Auch dieses Beispiel speichert die Website in der Datei file.txt ab. Die einzelnen zu übertragenen Parameter werden in dem Array der Variable $post hinterlegt. Da manchmal der Referer, also die aufrufende Seite, für die korrekte Funktion einer Seite erforderlich ist, kann auch dies hinterlegt werden.

Einen Haken hat Website Baker: Wenn ein Menü verschachtelt ist, mit Sub- und SubSubMenüs, dann ist die eingebaute Funktion show_menu relativ unbrauchbar und das Modul show_menu2, welches man nachinstallieren kann, taugt leider auch nicht viel. Die Doku zu show_menu2 ist grottig und die Beispiele zeigen nicht das was ich haben möchte.

Mit der eingebauten show_menu-Funktion sieht ein Menü z.B. so aus:

Da diese Darstellung sehr unbefriedigend ist und immer nur der gerade aktive Menüpunkt hervorgehoben wird, habe ich an einer Systemdatei des CMS etwas rumgefingert und dann sieht das gleiche Menü folgendermaßen aus:

In die class.frontend.php von Website Baker 2.6.7 habe ich ab Zeile 367 (V 2.7: Zeile 381) folgendes eingefügt:

if (ROOT_PARENT==$page['page_id'] and $class==' class="menu_default"') {
$class = str_replace('menu_default"', 'menu_default level0"', $class);
} elseif (PARENT==$page['page_id'] and $class==' class="menu_default"') {
$class = str_replace('menu_default"', 'menu_default level1"', $class);
} elseif (LEVEL==0 and $class==' class="menu_current"') {
$class = str_replace('menu_current"', 'menu_current level0"', $class);
}

Und das CSS dazu enthält folgendes:

#menue { font-size: 0.8em; line-height: 25px;}
#menue ul { margin: 0; padding: 0; }
#menue ul li { list-style: none; display: inline; margin: 0; padding: 0;}
#menue ul li a { color: #222222; text-decoration: none; display: block; padding-left: 5px; background-image: url(../img/menu-bg.jpg); border-bottom: 1px solid #aeaeae; }
#menue ul li a:hover {background-color: #cccccc; }
#menue ul li a.menu_current { background-color: #cccccc; color: #000000; }
#menue ul ul li a {padding-left: 20px; background: #ebebeb; }
#menue ul ul ul li a { padding-left: 35px; }
#menue ul ul ul ul li a { padding-left: 45px; }
#menue ul li a.level0 { background-image: url(../img/menu-activ-bg.jpg); color: #FFF;}
#menue ul li a.level1 { background-color: #ebebeb; color: #066a38;}

Vielleicht bin ich auch nur zu dumm, um das Modul show_menu2 richtig zu benutzen, aber nach mehreren Stunden tüfteln, Googlesuche und Doku lesen, war es für mich sehr viel einfacher (und schneller) etwas am Website Baker Quellcode abzuändern, was nun genau das macht was ich will. Bei solchen Aktionen lernt man auch etwas über das Innenleben einer Open Source Software. :O)

Das Problem von normalen/einfachen/ungesalzener MD5-Hashes sind die Rainbow Tables, also vorausberechnete Hashwerte. Wenn man als Passwort zum Beispiel “password” benutzt, so wird immer der gleiche MD5-Hash erzeugt:

md5(password) => 5f4dcc3b5aa765d61d8327deb882cf99

Google kennt z.Zt. 4630 Ergebnisse für diesen Hash und wenn man die Suche weiter einschränkt findet man auch SQL-Dumps, in denen dieser Hash vorkommt. Mit anderen Worten: Auch hier hilft Google dem Hacker und das zu geringe Sicherheitsbewußtsein der Softwareentwickler verstärkt das Problem enorm.

Fast jede Software benutzt MD5 zum Erzeugen von Hashwerten, WordPress ebenfalls. Im Quellcode von WP kommt zwar auch

»md5($data . $salt)« oder auch »md5( md5($password) )«

vor, aber der Passworthash in der wp_users ist nur ein einfacher MD5-Hash. Das heißt wer die Datenbank auslesen kann hat die Hashwerte für die Passworte der User. Da viele User immer wieder die gleichen Passworte benutzen… das Passwortproblem und User hatte ich bereits hier und hier erwähnt.

Der unberechtigte Zugriff auf die Datenbank kann durch verschiedene Probleme möglich sein. Ein Fehler in der Software selber, also z.B. per SQL-Injection das Adminpasswort überschreiben. Ist der Passworthash ein einfacher MD5-Hash so kann der Hacker ohne Probleme den Hash ersetzen, um Zugriff auf die Software zu erlangen. Der Hoster hat einen Fehler gemacht und plötzlich sind alle phpMyAdmins offen. Oder das Datenbanktool phpMyAdmin hat einen Bug, oder… oder… oder…

Also im WP-Quellcode gibt es 22 Dateien in denen md5() benutzt wird. Ich habe mal alle Vorkommen mit selfmd5() ersetzt und in der wp-config.php meine eigene MD5-Funktion eingefügt, da ich davon ausgehe das alle Dateien die auf die Datenbank zugreifen erst die Konfiguration, mit dem DB-Passwort, laden.

function selfmd5($klartext) {

}

Ich habe ersteinmal vor der Installation von WordPress die geänderten Dateien ausgetauscht. Die Installation war erfolgreich, ich konnte Beiträge schreiben, kommentieren, editieren, löschen, neue User anlegen, etc. etc. Dann habe ich in einem bereits installierten WordPress alle Dateien ausgetauscht und in der Datenbank den Passwort-Hash des Users auf den neuen Hash aktualisiert, wieder lief alles Problemlos.

Es wäre natürlich sehr viel besser wenn die WP-Entwickler eine eigene MD5-Funktion in den Quellcode einfügen und nicht das einfache MD5 verwenden würden, denn nach jedem WP-Update muß ich wieder alle Dateien auf meine MD5-Funktion umstellen.

Also, meine Bitte an die WP-Entwickler: Baut mal eine gesalzene MD5-Funktion in WordPress ein, dies erhöht die Sicherheit von WordPress enorm.

Das Plugin ist sehr einfach gehalten. Es erzeugt aus vorgegebenen Schlüsselreizen für BKA, BND & Co. eine zufällige Reihenfolge und zeigt diese in dem gewählten Bereich des Themes an. In einer späteren Version, wenn ich weiß wie es funktioniert <g>, kommt ein Admin für das Backend hinzu, in dem man u.a. die Schlüsselreize editieren kann, was jetzt leider nur direkt im Quellcode des Plugins möglich ist.

Ich habe es in meinem Blog per <? vds_faker(‘#e9e9e9′, ’0.8em’); ?> am Ende der footer.php eingebaut. Der erste Parameter ist die Farbe, wobei es egal ist ob man nun #000, #000000 oder black schreibt. Der zweite Parameter ist die Schriftgröße, für den Fall das man es für den Besucher sichtbar einfügen möchte. Hier im Blog ist die Schriftfarbe gleich der Hintergrundfarbe, weswegen es für menschliche Besucher nicht zu sehen ist – aber Google hat die Schlüsselreize sauber in seinen Index aufgenommen. :O)

Mir ist natürlich klar das Google weiße Schrift auf weißem Hintergrund nicht mag und evtl. den PR herabsetzt, aber bei meinem miniBlog ist mir das egal. Da ich mir dieses PR-Problems bewußt bin habe ich die Möglichkeit eingebaut die Schriftfarbe selber zu bestimmen. Ich denke wenn man die Schriftfarbe so wählt das die Worte auch für menschliche Besucher sichtbar sind, dann sollte es kein PR-Problem geben.

Mein erstes Plugin für WordPress, sicher nicht der Weisheit letzte Schluß, aber zumindest ein Anfang. :O)

Ich kann natürlich keine Garantie oder Verantwortung für die korrekte Funktion übernehmen, daher: Benutzung auf eigene Gefahr! …auch die, das der Schäuble morgen angerollt kommt. ;O)

Hier der Download zum WP-Plugin: ZIP

<?
/*
Plugin Name: VDS-Faker
Plugin URI: http://meingottundmeinewelt.de/
Description: Vorratsdaten-Faker - wir f&uuml;llen die Vorratsdatenspeicher
Version: 0.1
Author: Michael Schwarz
Author URI: http://meingottundmeinewelt.de/
*/

function vds_faker($farbe, $groesse)
{
$vds_worte = array ("Hamas", "Fatah", "Al Qaida", "PKK", "CIA", "NSA", "BKA", "BND", "MI5", "MI6", "Mossad", "RAF", "Bombe", "Terror", "Bush", "Selbstmordattentat", "Sprengstoffgürtel", "72 Jungfrauen", "Kommunismus", "Sozialismus", "Allah", "Islam", "Muslim", "Moslem", "Gotteskrieger", "USA", "China", "Nordkorea", "Iran", "Öl", "Erdöl", "Dollar", "Gold", "Börse", "Geld", "Kalaschnikow", "AK-47", "Rakete", "Stinger", "FIM-92", "Handgranate", "M67", "prekariat");
shuffle($vds_worte);
echo '<div style="color: '.$farbe.'; font-size: '.$groesse.'">';
for ($x=0; $x<count($vds_worte); $x++){
echo $vds_worte[$x]." ";
}
echo '</div>';
}
?>

Um den Quellcode hier schön formatiert anzeigen zu können habe ich das Plugin SyntaxHighlighter benutzt. Ein wirklich tolles WP-Plugin!

Update:
Das war leider nichts. :O( Der SyntaxHighlighter zerschießt mir das FLV-Plugin.