Der Bilderklau geht um

... oder wie man verhindert, dass Bilder vom eigenen Webspace auf anderen Webseiten verlinkt werden. Man nennt das auch Hotlinking - und das wollen wir doch nicht.

Natürlich lässt sich nur umständlich verhindern, dass Bilder aus der eigenen Webseite heruntergeladen und weiterverwendet werden. Hotlinking ist aber seinerseits nicht erwünscht, da in diesem Fall die Bilder ja bei jedem Aufruf vom eigenen Webserver geladen werden, und somit an der eigenen bandbreite knabbern. Was kann dagegen unternommen werden?

Es gibt grunsätzlich 2 Möglichkeiten:

Erstens: Der Hoster stellt im CPanel eine entsprechende Option bereit.

Option Hotlink
Die Option befindet sich im Abschnitt Sicherheit
Ein Klick darauf öffnet einen Dialog für die Konfiguration.



Konfiguration des Hotlink-Schutzes
Die Konfiguration im Detail. Wichtig ist, dass der Hotlink-Schutz überhaupt eingeschaltet ist. Ein Klick auf Aktivieren schaltet den Schutz ein. Welchen URLs nun zugriff gewähren will, notiert man unter Zugang für URLs erlauben. Hier muss mindestens die URL der eigenen Seite eingetragen werden.
Welche Dateien gesperrt werden sollen konfiguriert man unter Direkten Zugriff für die folgenden  Erweiterungen ... sperren, und zwar durch Kommata getrennt (siehe Bild)




 Zweitens: Man schreibt die Konfiguration in die .htaccess Datei

Wenn der Hoster keine entsprechende Option anbietet, kann der Schutz auch in die .htaccess geschrieben werden. Bedingung ist, dass die Rewrite Engine eingeschltet ist. Dazu notiert man folgende Zeilen:

 RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yoursite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?bing.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yahoo.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|svg|mp4|mp3|pdf)$ - [NC,F,L]

Erklärungen:

  • Die erste Anweisung lässt leere Referrer zu. Dies ist z.B. der Fall, wenn ein Besucher hinter einer Firewall sitzt, welche Referrers, die der Webserver sendet, löscht. Ohne diese Zeile werden für solche Besucher möglichweise alle definierten Dateien gesperrt.
  • Die zweite Zeile erlaubt der eigenen Webseite den direkten Zugriff auf diese Dateien. Hier ist yoursite.com durch die Adresse den eigenen Domänennamen zu ersetzen.
  • Die Zeilen 3 bis 5 erlaubt den Crawlern von Google, Bing und Yahoo den Zugriff. Es wäre ja ziemlich sinnlos, Suchmaschinen aussperren zu wollen.
  • Die letzte Zeile definiert eine Liste von Dateitypen, auf die der Zugriff verwehrt werden soll. Zugriffsversuche werden so mit einem 403 - forbidden Code beantwortet, ausser der zugriff erfolgt von einer erlaubten Domäne her.