Fotogalerie mit Login

Hatte vor ein paar Tagen eine Fragestellung, die sich genau gleich anhört wie deine. Unsere Lösung heißt:
NextCellent Gallery (https://wordpress.org/plugins/nextcellent-gallery-nextgen-legacy/) mit NextGEN Download Gallery (https://wordpress.org/plugins/nextgen-download-gallery/) mit Passwortschutz für einzelne Seiten.
=> Pro Kunde eine Seite mit Bildergalerie drauf. Link erhält nur der Kunde. Die Seite ist mit den WordPress-Bordmitteln (im Kasten unter veröffentlicht, dann Sichtbarkeit, aufklicken, Passwortschutz anwählen) passwortgeschützt. Das Login-Feld ist dann insofern „gleich“, als es gleich aussehen wird, aber jeweils natürlich eigentlich schon auf der zugeordneten Seite.

Gruß
helix

 

Und, auch schon mal getestet, ob die Bilddateien direkt über ihre Deeplinks auch unangemeldet (öffentlich) erreichbar sind?

 

Au, jetzt muss ich jeden Buchstaben dreimal umdrehen und genau ansehen, bevor ich ihn tippe, weil sich sonst dein gesammelter Sarkasmus über mich ergießt …

Getestet: jetzt grade vorhin.
Ergebnis: natürlich sind die Bilder über deep Links aufrufbar. Hatte ich auch nicht anders erwartet.

Ich gehe (bis jetzt) davon aus, dass das für meinen / unseren Anwendungsfall unproblematisch ist, werde aber nochmal Rücksprache halten. Insofern danke für den Hinweis.

Ich gehe aber auch davon aus, dass die meisten Leute, die einen passwortgeschützten Zugang zu irgendwas wollen, mehr die Illusion von Sicherheit wollen, als dass tatsächliche hochprozentige Sicherheit wirklich soo wichtig wäre.
Hier wissen wir nicht, was bove wirklich sucht, will und braucht. Deswegen hatte ich auch geschrieben, dass sich die Fragestellung für mich gleich anhöre.

Es kommt doch sehr darauf an, um was es konkret wirklich geht. Wenn ich eine Seite betreibe, auf der ich kostenpflichtig Bildmaterial anbiete (z.B. Stockphotos), sollte der abgesicherte Download natürlich möglichst nicht umgangen werden können. Wenn es „nur“ darum geht, Kunden zugeordnete Bilder über Webseite und Downloadmöglichkeit zukommen zu lassen, bräuchte man meiner Ansicht nach auch den Passwortschutz der Seite nicht wirklich (sondern nur, weil der Kunde dieses „sicher-und-ordentlich-Gefühl“ wünscht), weil der Link zur Seite sowieso auch nur dem Kunden zugesandt wird und die Seite sonst nirgendwo verlinkt ist. (Wobei auch hier wieder die Frage ist, was das für Bilder sind: Vorher-Nachher-Bilder einer Diätgruppe sind eher schützenswert als Bilder einer Gartengestaltung …)

Und ja, natürlich gibt es böse Buben, die schnüffeln. Und böse Bots, die von bösen Buben ausgesandt sind.
Da ist aber meiner Ansicht nach auch ein wirkungsvollerer Schutz, die Inhalte nach angemessener Zeit wieder rauszunehmen.

Denn auf der anderen Seite geht es ja auch darum, den Prozess sowohl des Einstellens als auch dann für den Kunden des Aufrufens und Herunterladens, einfach und überschaubar zu halten.

Gruß
helix

 

Grins – zwei Gegenfragen:
1.) was ist denn nun für dich „sicher“ – also was erwartest du, was deine Lösung sichert und was nicht?
2.) muss es ein PlugIn, also eine ready-made-Lösung sein oder was traust du dir zu selber zu tun, was über dreieinhalb Klicks hinausgeht?

Gruß
helix

 

Dann ist es für mein Verständnis sinnlos, das wäre in etwa so, als wenn ich meine Haustüre abschließe, aber die Terrassentür mit einer Klinke ohne Schloss versehe, mit welcher jeder diese von außen öffnen kann.

Klar, handelsübliche Zylinderschlösser an handelsüblichen Haustüren sind auch unsicher, aber immer noch etwas anders als eine überhaupt nicht verschlossene Tür, auch rechtlich, denn die unverschlossene Tür ist nämlich unter bestimmten Umständen mindestens als grob fahrlässig zu werten und wenn es um Kunden und ihre persönlichen Bilder (Daten) geht, kann dieser Unterschied im Zweifel durchaus relevant sein und für den Anbieter sehr teuer werden…

"(…) ich will für meine Kunden Bilder auf meiner Webseite einstellen, die sie mit einem Login aufrufen können. Kunde A soll die Bilder A aufrufen und Kunde B die Bilder B(…)"

Klingt für mich recht eindeutig im Zusammenhang mit der Problematik der Aufrufbarkeit von Mediadateien über Deeplinks, nämlich, dass dies eher nicht erwünscht ist, vom Kunden sogar ziemlich sicher nicht...

Autsch, kommunizier das mal mit einem Kunden, viele werden Dir dafür völlig zu Recht mit dem nackten Ar… in Gesicht springen, einige Dich dafür ziemlich sicher sogar juristisch belangen wollen…

Das zu entscheiden, ist und darf ja wohl nur allein Sache des Kunden sein…

Ganz sicher nicht, weil man als Anbieter so keinerlei Einfluss darauf hat, wo und wie sich die Bilder und Daten in den Weiten des Internets und heimischer Festplatten so verbreiten.

Dann ist WP dafür nicht unbedingt das geeignete Werkzeug, es gibt zwar Pluginkrückenlösungen wie den Download Manger und auch einige bessere Profilösungen, aber es bliebt das Problem, dass WP von Haus aus eben kein echtes CMS ist und somit auch keine dedizierte Rechtestruktur für Ordner und Dateien mitbringt.

Aber die meisten Webhoster stellen dafür schon in ihren kleinen Paketen ein recht sicheres Werkzeug zur Verfügung, nämlich per .htaccess gesicherte Verzeichnisse mit entsprechender Verwaltung über das Kundenbackend.

Auf diese Weise kann man dann relativ (rechts)sicher und einfach auch Downloaddateien für Kunden mittels einem kleinem Mini-CMS oder zur Not auch Steinzeit-HTML hinterlegen, für Bilddateien greift man dabei einfach auf einen Thumbnail-Generator (selbst IrfanView hat einen sogar anpassbaren mit an Bord) zurück, alles frei von WP, aber dennoch damit verknüpfbar.

 

Warum nicht als gewerblicher Dienstleister über sinnvolle (rechts)sichere praktikable Alternativen nur für den Kundenbereich nachdenken?

Dann spricht das schon mal ein gutes Stück weit gegen WordPress zumindest für den Kundenbereich, denn wenn man dazu noch derart lax vorgeht wie o.g., wird das mit ziemlicher Sicherheit früher oder später passieren, das ist aber noch nicht der Worst Case, der manifestiert sich erst dann, wenn dadurch erst ermöglicht z.B. bestimmte Kundenfotos in anrüchiger oder diffamierender Weise auf einschlägigen Portalen auftauchen (dafür müssen diese nicht mal nackte Tatsachen abbilden) und der betreffende Kunde das erfährt.

Und das zu Recht und das hat nur am Rande etwas mit Deinem tollen SEO zu tun, sondern vielmehr mit der Art und Weise wie moderne Suchmaschinen das Internet durchschnüffeln.
Entgegen landläufiger Meinung ist es dafür u.a. nicht nötig, dass Bilder auch irgendwo öffentlich zugänglich verlinkt werden, es reicht vielmehr schon völlig aus, wenn die entsprechen Dateien öffentlich aufrufbar sind, was bei o.g. Vorgehensweise ja der Fall ist.

Das ist mitnichten eine gute Möglichkeit und im genannten Plot sogar (datenschutz)rechtlich grob fahrlässig, weil man so keinen Einfluss darauf hat, wie und wo sich die Galerien und deren Inhalte in dem Zeitintervall in dem sie öffentlich zugänglich sind, vervielfältigen und auch nicht darauf, was danach mit den Vervielfältigungen passiert.

Eben, eben…

Eine trügerisch einfache, die Dich u.U. Deine Existenz bis hinein in die Privatinsolvenz kosten kann, vom gesellschaftlich sozialen Schaden für Dich und Dein direktes Umfeld mal ganz zu schweigen, ich sage es nochmal ganz deutlich und in Zeitlupe – Diese Vorgehensweise ist g-r-o-b- -f-a-h-r-l-ä-s-s-i-g.

In Diesem Plot, wohl eher Deine erste Pflicht…

 

Und wie bitte sollen Suchmaschinen von der Existenz eines Bildes erfahren, wenn es nicht wenigstens an einer Stelle verlinkt ist?
Das geht bestenfalls noch über Daten, die sie über irgendwelche Toolbars abgreifen.

Bei Google ist es zumindest so, daß ein Bild nur dann über die Bildersuche gefunden werden kann, wenn es wenigstens auf einer Seite verlinkt oder eingebunden ist. Selbst wenn Google das Bild selbst kennt, wird es ohne Link/Einbindung nicht in der Bildersuche erscheinen.

Gruß
Ingo

 

Rein technisch über die Datenschleppe die ein Nutzer mitführt, der eine solche Bilddatei aufruft oder aber über sein Verhalten Links dorthin in seinem Kreisen zu verbreiten.

Nicht alle Bilddateien, die Google indexiert landen auch in der speziellen Google-Bildersuche, sie sind aber trotzdem im Index.

Unzählige mehr oder weniger dubiose Bots von ebensolchen Portalen z.B. durchforsten das WWW völlig regelfrei nach allem was sie bekommen können und sammeln/spiegeln diese Inhalte dann und dort werden diese wiederum von Google indexiert und landen dann darüber, wenn es sich um Bilder handelt, schlussendlich zu einem Teil auch in der Google-Bildersuche, weil ja nun um das Bild herum eine Webseite existiert.

Und es gibt noch viele andere Suchmaschinen außer Google.

Indirekt (s.o.) schon, aber auch direkt im Index als Deeplink jenseits der Angebotes der Google-Bildersuche, man kann Bilder ja schließlich auch direkt über die allgemeine und vor allem die erweitere Google-Suche finden und das, was Google dort im Menü/Formular anbietet, ist noch längst nicht alles, was Google insgesamt an zusätzlichen Suchtools und Filtern so anbietet.

Willkommen in der neuen bunten Datenwelt von 2015…

 

Sowas wie Toolbars oder sonstige Browser-Erweiterungen, gut, die Möglichkeit hatte ich ja eingeräumt. Aber was meinst Du mit "in seinem Kreisen zu verbreiten."?

Und in welchem Index landen sie dann bitte?

Aber auch dubiose Bots können nur Sachen finden, die irgendwo verlinkt sind, sofern sie nicht noch zusätzlich Zugriff auf die Browser-Daten der Nutzer haben. Oder meinst Du, die basteln sich URLs aus bekannten Daten zusammen und probieren, ob es diese gibt?

Die Bilder, die Google teilweise in der normalen Suche oder im Knowledge-Graph anzeigt, stammen auch aus dem Index der Bildersuche und benötigen mindestens eine referenzierende Seite. Wie Du darüber hinaus noch Bilder finden willst, müßtest Du bitte erläutern. Das kann ich nicht nachvollziehen.

Mit der Google-Suche und speziell der Bildersuche beschäftige ich mich schon seit ein paar Jahren, ich weiß in etwa, wie das was funktioniert. Aber danke für die freundliche Begrüßung!

Gruß
Ingo

 

Tracking auf div. Wegen (Cookies, Beacons etc., aber auch direkt über die Dienste und deren Accounts), eigentlich doch recht bekannt, sagt Dir tatsächlich nichts...

Dann mach Dich mal dazu z.B. hier

http://www.selbstdatenschutz.info/tracking_verhindern/

als ersten Einstieg schlauer und vergiss dabei die neuen tollen Endgeräte nicht, zu denen Google auch noch gleich das Betriebssystem liefert und wo viele Gimmicks nur mit persönlichem Google-Account (angemeldet) funktionieren, aber den braucht es dafür nicht mal unbedingt.

Weiß Du das wirklich nicht oder tust Du nur so, warum auch immer, egal, wenn letzteres zutrifft, wirst Du mir das ja dann sowieso (hier) nicht verraten...

Naja, u.a. menschliches Versagen und Fehlverhalten halt, immer mehr Leute haben ja mittlerweile ein Problem damit, Privates von Öffentlichem zu trennen…

Im Index von Google und anderen Suchmaschinen und deren div. Diensten, wo sonst.

Haben sie teilweise ja…

Auch das gibt es, Menschen machen das, aber Bots auch, Menschen teilen solche Erkenntnisse dann auch mal gerne in Foren, aber das war im Kern gar nicht mal gemeint.

Nein, benötigen sie für den allg. Index eben nicht, nur für den Teil daraus, der zusätzlich im Rahmen der Bildersuche angezeigt wird.

Indexiert werden u.a. auch Dateien in Verzeichnissen, die von entsprechend konfigurierten Servern automatisch erzeugt werden, wenn man direkt Dateien und Verzeichnisse (auch nicht vorhandene) dort mit dem HTTP-Protokoll aufruft (aufzurufen versuchst), auch wenn kein umgebendes (echt) statisches HTML hinführt und die Bilder selbst davon auf diese Weise ja sowieso nicht umgeben sind.

Ähh, nicht Dein Ernst, in der allgemeinen Google-Suche z.B. über [Ein-Wort-oder-beliebiger-String].jpg oder etwas versierter mit etwas anderer Intention z.B. über intitle:index.of [Ein-Wort-oder-beliebiger-String] jpg - mehr sage ich an dieser Stelle mal dazu aber nicht, möchte niemanden falsch ermuntern...

Den Eindruck vermittelst Du jetzt aber eher nicht…

 

Vermutlich reden wir aneinander vorbei.
Mit Deiner Beispielsuche xyz.jpg wirst Du bei Google, egal ob in der normalen oder der Bildersuche kein Bild finden, sonder nur Seiten, die die URL des Bildes enthalten. Das Google-Suchergebnis ist immer eine Seite, aber nicht die Bilddatei direkt. Wenn es keine solche Seite gibt, egal wie die jetzt enstanden ist, wirst Du auch kein Bild finden.

Auch das Tracking über Cookies und modernere Ausprägungen ist mir nicht ungekannt. Was mir immer noch nicht einleuchtet, wie das dazu beitragen soll, daß Suchmaschinen-Bots Bilder finden sollen, die nirgendwo öffentlich verlinkt sind. Vielleicht bin ich ja wirklich zu blöd.

Um aber mal auf das Problem des TE zurückzukommen. Wenn ich es richtig gelesen habe, ist er Fotograf und will Bilder an Kunden verkaufen.
Ich habe mir jetzt mal angesehen, wie das Fotolia macht.

Wenn ich dort ein Bild runterlade, wird ein für 72 Stunden gültiger Download-Link generiert, z.B.:
https://download.fotolia.com/DownloadContent/2/ZYO8NZkNXI4ZvBlh5lwa407gH4OHhm57/Fotolia_50056965_XL

Der ist dann zusätzlich meinen Benutzerkonto zugeordnet und kann nur aufgerufen werden, wenn ich angemeldet bin.

So ähnlich müßte man das wohl umsetzen, ob das wirklich einfach mit Plugins in Wordpress hinbekommt, da hätte ich auch Zweifel.
Die Bilder dürften nicht direkt im Upload-Ordner liegen, sondern mußten über einen dynamisch generierten Link zugägnlich gemacht werden.

Unkritisch wäre aus meiner Sicht aber die Anzeige der Thumbnails oder Vorschaubilder, die ja auch bei den Stock-Agenturen öffentlich sichtbar sind. In der Regel ist da ein entsprechendes Wasserzeichen enthalten.

Gruß
Ingo

 

Meinst Du mich?
Ich habe doch gerade aufgezeigt, wie das z.B. bei Fotolia funktioniert.
Mein Denkfehler ist aber, daß es im konkreten Fall wohl eher nicht um Stockfotos geht, sondern um Auftragswerke, die auch persönliche Dinge des Kunden enthalten. Dann müßten natürlich auch die Thumbnails geschützt werden.

Wie auch immer, ich denke nicht, daß es fertige Pluginlösung gibt, die auch den Aufruf der Bilder über Deeplinks verhindert. Das müßte dann ggf. neu programmiert werden.

Gruß
Ingo

 

Das mag sein, zumindest in Bezug auf Google, ich rede vom Index und was wie dort hineinfindet und Du was das Frontend daraus macht.

Du vergisst die div. Dienste und deren Accounts, selbst wenn man dort das Tracking deaktiviert, wird allenfalls die personenbezogene Verknüpfung deaktiviert, aber ganz sicher nicht das Datensammeln an sich, Du weißt doch sicher auch, Informatiker speichern alles, wenn nur genügend Platz auf der Festplatte ist und die Festplatten der Suchmaschinenbetreiber haben immer noch ein bisschen Platz in petto…

 

Was passt Dir denn nicht, ich liefere auch in diesem Thread, wie eigentlich so gut wie immer hier, höchst konstruktive Beiträge ab und das auch noch im Prinzip völlig selbstlos, weil ich hier für nichts und niemanden Werbung mache.

Davon abgehsehen, war der für Dich vielleicht als zu rau empfundene Ton, gar nicht an Dich gerichtet und ich bin der festen Überzeugung, dass Putzlowitsch zumindest in diesem Zusammenhang kein Mimöschen ist und sich schon selbst wehren kann, falls er gegen den Ton etwas einzuwenden hat…

 

Jein, es gibt u.a. dieses Plugin hier

http://wp-customerarea.com/

sogar auch in einer abgespeckten kostenlosen Variante.

Das funktioniert im Prinzip auch ganz gut (bis auf einige Wechselwirkungen mit anderen Plugins und Themefunktionen) und verhindert tatsächlich, dass Suchmaschinen die Dateien indexieren können, aber mit einem Trick, denn es versteckt die Dateien nur bzw. den Pfad dort hin, selbst der Kunde im Backend erfährt nie den tatsächlichen Link zu den geschützten Dateien.

Ruft man aber den tatsächlichen Link (den auf dem Server) zu den Dateien auf, kann man diese auch uneingeloggt im Browser anzeigen lassen bzw. downloaden.

Aber genau die Existenz eines solchen Plugins und seine spezielle Funktionsweise, sollte auch Dir als starkes Indiz dafür dienen, meinem Worten weiter oben ruhig mal Glauben zu schenken, denn sonst wäre ja dieser Eiertanz den dieses Plugin vollführt in dieser Weise gar nicht erst nötig…