Percorso file da pubblico a privato

in "permissions" setta che gli utenti non autenticati non abbiano accesso agli upload, se no succede che se per puro caso arrivino al file, possono comunque scaricarlo.

Dipende del meccanismo (upload/download) e livello di sicurezza.

Credo che anche se cambi i valori come spiegato da kiuz, se conosci l'URL, si puo' sempre fare il download anonimo del file (perche' e' nella zona pubblica del file system). Provare per credere... Questo potrebbe succedere se, per esempio, io forse autenticato e tu non, ma ti mando l'URL per email. (Esempio un po' forzata, perche' potevo mandarti anche il file ;-) Tutto dipende dal tuo livello di paranoia (o quello del tuo cliente).

Per un sito con contenuto pubblico (diciamo dei depliant), e contenuto privato (uhm, listino rivenditori), un modulo come Private Download controllerebbe i permessi a scaricare un file (irrispetivo dei nodi). Ma (c'e' sempre un ma) i file devono essere trasferiti al sito tramite FTP. Questo modulo l'ho usato io.

Altrimenti prova Private Upload, ma (cosa dicevo) questo ha dei conflitti con altri moduli del tipo upload. Non l'ho mai provato pero'.

Se il modello "FTP upload, download con controllo accesso" ti va bene, e' sufficiente private_download. Io lo preferisco perche' e' semplice.
Se il modello "Upload tramite browser, download con controllo accesso" ti va meglio, allora il voto va a private_upload, ma devi evitare i moduli di conflitto.

I file in sites/default/files normalmente vengono serviti al browser da Apache (veloce, e' quello che fa meglio) non da Drupal (lento, non e' un file server, e un CMS). Pensa al favicon, logo, ecc.
Drupal (ed i suoi controlli d'accesso) gestisce il contenuto dei nodi.

Quando setti il file system a privato in admin/settings/file-system, fai passare il controllo files da Apache a Drupal. Ma devi decidere, l'uno o l'altro.
Come? Beh, sites/default/files (Apache) non e' piu' disponibile ai anonimi, ma system/files (Drupal) si - se hai i permessi Drupal necessari, cioe' hai fatto il login, e' sei un tipo affidabile, e non mi devi dei soldi.
Per chiarire un po: sites/default/files (Apache) === system/files (Drupal) - stesso indirizzario, diversi percorsi, adirittura diversi applicativi.

Con uno o l'altro di questi moduli, puoi avere la torta e mangiarlo. Cioe' public per favicon, et al., private per documenti, er, privati.
Come? Beh, sites/default/files (Apache) rimane come il solito cioe' accessibile ai anonimi, ma sites/default/files/private (Apache) non e' piu' disponibile.
system/files (Drupal, ma meno efficace) e accessibile ai anonimi e system/files/private (Drupal) e disponibile o non secondo i permessi di Drupal, e se mi devi dei soldi.

Quindi, quello che hai notato come link e' un comportamento corretto - sites/default/files/private non dev'essere accessibile, ma system/files/private si - presumo che fai questi test come admin (id=1).

WTF? Beh, se cambi il sito da public a private, o abiliti private_upload o private_download, dopo che hai 'associato' un file con un nodo non so se tutto viene modificato come pensi. Crea un nuovo nodo adesso, con private_upload attivo, uploadi (dal verbo uploadare) un immagine o pdf diverso, poi controlla la pagina, il view, e il file.
Se non funziona ancora, abbiamo un problema, Houston.

Bravo Sherlock!
Sembra che ci sia un 'misunderstanding' fra views e private_upload. Ma sembra anche che hai trovata la soluzione. Non avevo usato views + private_upload io.

Quote:

ma non ho capito come si installa quel "private_upload.zip"

Ti lo spiego, ma solo se prometti di:

1. Fare le prove su un istallazione Drupal localhost, non su un server di produzione
2. Fare un backup del database
3. Fare un backup del codice/files del istallazione Drupal

Oppure ignori questi consigli, prendendo tu la piena risponsibilita' per eventuali perdite di dati, capelli, ecc.

Non dovrebbe succedere niente di male, ma (c'e' sempre un ma) non si sa mai.

1. Lo zip e' piu' recente del release ufficiale, quindi basta estrare i contenuti dello zip nel indirizzario sites/all/modules o sites/default/modules, insomma nel indirizzario genitore di dove sta adesso private_upload
2. Rinfrescare la pagina web col view incrociando le dite.
3. Se non cambia niente, prova svuotare i cache, o riavviare apache, giusto in caso...
4. Farci sapere cosa succede...

Quote:

Nel caso volessi usare private_download
- dove carico i file via FTP?

Quote:

- come creo una vista tipo questa che mi elenchi i file? http://www.cbe.it/it/istruzioni

Per chi non vuole avere un collegamento FTP (vi capisco), in realta' io usavo SFTP tramite SSH.

HTH

Bene siamo alla frutta. Credo che private_upload sia il migliore modulo per il tuo scopo.
Scusa se sono stato pedantico, ma su questo sito gli utenti variano tanto nella loro conoscienza. Volevo essere prudente, ma questo mi sembra che hai capito.

<?php
function private_upload_file_download($file) {
  $private_dir = variable_get('private_upload_path', 'private');
  if(_private_upload_starts_with($file, $private_dir)) {
    $filepath = file_create_path($file);
    $result = db_query("SELECT DISTINCT(u.nid) FROM {upload} u INNER JOIN {files} f ON u.fid = f.fid ".
                       "WHERE f.filepath = '%s'", $filepath);
    while($row = db_fetch_array($result)) {
      $node = node_load($row['nid']);
      if (node_access('view', $node)) {
        return; // Access is ok as far as we are concerned.
      }
    }
    return -1; // No nodes are granting access, so veto download.
  }
}
 
?>

Presumo che come utente anonimo puoi vedere il nodo. Oops. Forse nodeaccess ti permettera' a nascodere il nodo (e quindi il link, ma anche system/files/private/nomefile.ext).

Messo a posto quest'ultimo:

1. Anonimo non puo' accedere al file con sites/default/files/nomefile.ext
2. neanche con con system/files/nomefile.ext

Per anonimo intendo un utente che non ha permessi di vedere il nodo.
Non completamente blindato, ma almeno questo supera il mio livello di paranoia.

Curioso che il codice citato (da private_upload.module, riga 234) non controlla per quel essere suprema, uid=1. Hmmm.

HTH

Hmm. Ho guardato il codice (riga 138):

<?php
  // Write a test file to the private folder to test public access.
  $test_file = $private_path.'/privacy_test.txt';
  if (!file_exists($test_file)) {
    $test_path = file_create_path($test_file);
    file_save_data( "This is just a test.", $test_path, FILE_EXISTS_REPLACE );
    drupal_set_message("Added test file: $test_path.");
  }
  if (file_exists($test_file)) {
    $url = $GLOBALS['base_url'] .'/'. $test_file;
    if ( !_private_upload_is_url_protected( $url )) {
      $requirements['private_upload_readable'] = array(
        'title' => t('Private Upload'),
        'severity' => REQUIREMENT_WARNING,
        'value' => $t('Private directory is publically accessable!'),
        'description' => $t('Very bad! Your private files are not private!'),
      );
      $status[] = '<div class="error">'. $requirements['private_upload_readable']['description']. '</div>';
    }
    else {
      $secure = true; // good can't read files in private folder
      $status[] = '<div class="ok">'. $t("Your private folder is not accessable. Great!"). "</div>";
    }
  } 
?>

Non e' che hai cancellato, modificato o perso il file .htaccess nel $private_path per caso?

John

Buongiorno,
una domanda....
ho provato il modulo private_download.. seguendo le indicazioni che avete dato..
ma a me non ha creato la cartella
"sites/default/files/private"

è normale la cosa?