Ankündigung

Einklappen
Keine Ankündigung bisher.

.htaccess

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • .htaccess

    Öhhm joa hi leute hab da mal ne wichtige frage

    zur zeit versuche ich einem freund eine seite einzurichten das heisst die is im prinzip schon fertig nur will er jetzt noch nen passwort geschützten bereich haben .... also hab ich mich an htaccess gesetzt aber irgenwie will dieser scheiss ned klappen .....
    bitte um hilfe mfg da p. snick

    Meine htaccess:

    # Intern
    AuthType Basic
    AuthName "Dangerous Area"
    AuthUserFile .htpasswd
    valid-users admin

    Mein htpasswd:

    # passwöter
    admin:***

    anstatt den sternen steht da halt das pw
    beide liegen im gleichen ordner ..

    oder gibt es noch ne andere möglichkeit nen pw bereich einzurichten ohne gleich php zu können ^^

  • #2
    Re: .htaccess

    Original geschrieben von project.snick
    Öhhm joa hi leute hab da mal ne wichtige frage

    zur zeit versuche ich einem freund eine seite einzurichten das heisst die is im prinzip schon fertig nur will er jetzt noch nen passwort geschützten bereich haben .... also hab ich mich an htaccess gesetzt aber irgenwie will dieser scheiss ned klappen .....
    bitte um hilfe mfg da p. snick

    Meine htaccess:

    # Intern
    AuthType Basic
    AuthName "Dangerous Area"
    AuthUserFile .htpasswd
    valid-users admin

    Mein htpasswd:

    # passwöter
    admin:***

    anstatt den sternen steht da halt das pw
    beide liegen im gleichen ordner ..

    oder gibt es noch ne andere möglichkeit nen pw bereich einzurichten ohne gleich php zu können ^^
    Benutze den htaccess Generator von Swissweb (http://support.swiss-web.com/doc/htaccess/), der ist wirklich gut beschrieben und funktioniert auch.

    wichtiger hinweis: htaccess funktioniert nur wenn dein Apache Server auch richtig konfiguriert ist.
    Bachelor of Science ZFH in Information Technology

    Kommentar


    • #3
      Jo vielen dank werde das jetzt mal ausprobieren ....

      Kommentar


      • #4
        Schreib doch einfach mal anstatt der Zeile:

        valid-users admin

        diese hier:

        Require valid-user
        Dieses Posting wurde aus 100% rezyklierten Elektronen hergestellt
        und kann für die Umwelt absolut unschädlich gelöscht werden.

        Kommentar


        • #5
          You want to restrict access to a website.
          You can do this with .htaccess.

          1. Create a file called .htaccess in the directory where the website is placed
          you want to secure.

          2. In .htaccess you must write in the path to the file .htusers.
          It does not matter, WHERE .htusers is placed. You could place it in the
          same directory where .htaccess is placed.
          In the file .htaccess must be written:

          AuthType Basic
          AuthUserFile /srv/www/htdocs/phpMyAdmin/.htusers
          Require valid-user

          3. In the httpd.conf File, .htaccess must be enabled. Look for this section:

          # use .htaccess files for overriding,
          AccessFileName .htaccess
          # and never show them
          <Files ~ "^\.ht">
          Order allow,deny
          Deny from all
          </Files>

          4. Add a user to the htaccess Users. The User must exist on the system!

          htpasswd2 <path_to_file_.htusers> <username> <userpassword>

          So, if we want User max, with password max-pass to be able to authenticate
          for the website, and the htpassword file lies in /srv/www/htdocs/stuff/.htusers then we would give the command:

          htpasswd2 -nb /srv/www/htdocs/stuff/.htusers max max-pass


          When we check the file htpassword in the path, we will see that User max was
          added to htaccess users, and his password is there encrypted.
          CCNA, CISS, MCSE, LPIC-1 .. CCNP in Arbeit
          642-812 / 640-801 / 642-551 / 642-502 / 70-292 / 70-215 / 70-270 / 70-216 / 70-217 / 70-218 / 70-219 / 70-224 / LPI 101 / LPI 102

          Kommentar


          • #6
            @spacyfreak:

            in der .htaccess sollte man aber die Zeile "AuthType Basic" nicht weglassen, da die zur Auzthentifizierung dazugehört. (Momentan bleibt die Option aber noch irrelevant.)

            Durch die Angabe von AuthType Basic werden die Passwörter im Klartext über das Netz übertragen. (Prinzipiell kann also jeder mit ein wenig Ahnung und Geduld an Passwörter kommen.)

            Ein weiterer Standart Digest Authentication (AuthType Digest), der dieses Problem umgeht, existiert zwar, aber bis jetzt kann so gut wie kein Browser diese Art von Identifizierung.

            Edit: Jetzt hat der spacy doch tasächlich den Text abgeändert, noch bevor ich meinen Senf dazu fertig geschrieben habe
            Egal, lehrreich ist es allemal
            Zuletzt geändert von remix; 29.12.2005, 22:17.
            Dieses Posting wurde aus 100% rezyklierten Elektronen hergestellt
            und kann für die Umwelt absolut unschädlich gelöscht werden.

            Kommentar


            • #7
              Tja, manchmal bin ich schneller als die polizei erlaubt. LoL.
              Naja, ich hab einfach meine eigene Doku vom Linux Server kopiert, ich dachte das ist effektiver, als häppchenweise unverständliches blah zu posten - auch wenns englisch ist. Hehe.
              CCNA, CISS, MCSE, LPIC-1 .. CCNP in Arbeit
              642-812 / 640-801 / 642-551 / 642-502 / 70-292 / 70-215 / 70-270 / 70-216 / 70-217 / 70-218 / 70-219 / 70-224 / LPI 101 / LPI 102

              Kommentar


              • #8
                Jo vielen dank spacy es klappt jetzt ...



                und noch was hab da was total simples enteckt ein java srcipt wo das pw auch gleich die seite ist naja htaccess
                is besser

                mfg da Project-snick

                Kommentar


                • #9
                  Original geschrieben von project.snick
                  und noch was hab da was total simples enteckt ein java srcipt wo das pw auch gleich die seite ist ...
                  Um Himmels Willen Mach sowas ja nicht mit sensiblen Daten! Der "Schutz" ist nämlich nur pseudo.
                  Dieses Posting wurde aus 100% rezyklierten Elektronen hergestellt
                  und kann für die Umwelt absolut unschädlich gelöscht werden.

                  Kommentar


                  • #10
                    ^^ mach ich ja nicht aber interessant isses

                    ...und überhaupt sensible daten sind das auch nicht die dort lagern ...soll halt nen bereich geschützt werden wo nur freunde rein können

                    .....
                    aber keine sorge hat ja jetzt mit htaccess geklappt

                    Kommentar


                    • #11
                      Original geschrieben von remix
                      Um Himmels Willen Mach sowas ja nicht mit sensiblen Daten! Der "Schutz" ist nämlich nur pseudo.
                      Naja, ich denke, Sicherheit ist relativ.
                      In einem geswitchten Netzwerk ist es verdammt schwierig, ein Passwort zu ersniffen. Bei Einsatz von Hubs sieht das schon anders aus.
                      In einem geswitchten (Firmen-)Netzwerk müsste man schon auf einem Routerport einen Mirrorport einrichten um was sniffen zu können.
                      Ohne Zugriff auf die Netzwerkkomponenten ist das nicht möglich.
                      Und unter den Millionen gesniffter Pakete müsste man dann noch die richtigen herausfiltern, die ein Passwort enthalten.
                      Das setzt viel Wissen über Protokolle etc voraus.

                      Greift man jedoch übers Internet z.b. von zu Hause auf seinen Webserver zu, passieren die Pakete (auch unverschlüsselte Passwörter) jedoch einige Router von diversen Providern. Da hat man als User keinen Einfluss drauf, welchen Weg sie nehmen, und wer wo die Pakete mitlesen kann.
                      So gesehen ist auch jede versendete Mail, die nicht verschlüsselt wird (und das sind wohl 98% aller Mails) genauso lesbar, wie eine Postkarte, die man mit der Post verschicken würde.
                      Jeder, der sie in die Hände kriegt, kann sie ohne Probleme lesen. Auch die Eingabe unseres Mail Passwortes, wenn wir zb ein Mailkonto bei Yahoo oder GMX haben ist in aller Regel unverschlüsselt, und kann theoretisch (als auch praktisch) von vielen Admins gelesen werden, die bei einem Provider arbeiten. Dennoch tippen wir das Passwort täglich ohne Gedanken in den Browser ein und erfreuen uns an aktuellen Werbemails, die uns freundliche Spammer zusenden.

                      Die Sicherung mit .htaccess ist besser als keine Sicherung.
                      Für höchst sensible Webseiten jedoch tatsächlich nicht empfehlenswert.
                      CCNA, CISS, MCSE, LPIC-1 .. CCNP in Arbeit
                      642-812 / 640-801 / 642-551 / 642-502 / 70-292 / 70-215 / 70-270 / 70-216 / 70-217 / 70-218 / 70-219 / 70-224 / LPI 101 / LPI 102

                      Kommentar


                      • #12
                        @spacyfreak:

                        Ich meinte nicht den Passwortschutz mit .htaccess, sondern der von project.snick ins Spiel gebrachte via Java-Script. Manchmal sind die Homepage-Bastler so dumm, dass sie sogar solche Sachen wie

                        if passwort == "password" then location.href=safe.htm

                        in den Code reinschreiben
                        Dieses Posting wurde aus 100% rezyklierten Elektronen hergestellt
                        und kann für die Umwelt absolut unschädlich gelöscht werden.

                        Kommentar


                        • #13
                          Original geschrieben von remix
                          @spacyfreak:


                          if passwort == "password" then location.href=safe.htm

                          in den Code reinschreiben
                          Würde ich auf alle Fälle auch so machen, ist am einfachsten zu umgehen, wenn man sein Passwort vergisst.

                          grz zer00

                          Kommentar


                          • #14
                            also das was ich gefunden hab is eigentlich raffiniert wenn die html seite nen verrückten namen hat weil das läuft über

                            location.href=password + ".html"

                            und die person die drauf will muss ja nun mal den seiten namen kennen.......

                            wen dieser aber extrem komplex ist wie 1xvT46wqi.html
                            müsste man schon hacken um zu wissen wie die seite heisst .....und nun wissen wir ja alle dass das verboten ist

                            deswegen soo schlimm finde ich das gar ned aber falls ich mich irre erklärt mir mal bitte wie sonst jemand dadurch kommen will


                            Mfg da PROJEcT-SNIcK

                            Kommentar


                            • #15
                              Original geschrieben von project.snick
                              ... erklärt mir mal bitte wie sonst jemand dadurch kommen will
                              Basiert alles auf reinem Zufall:

                              Vielleicht benutzt dein Server eine Statistik-Software, wie z.B. Webalizer und das Verzeichnis der Staistik-Daten ist ungeschützt (war z.B. bei allen Tiscali-Domains mal der Fall ). Dann seh ich mir einfach deine Server-Statistik an und wenn die Seite aufgerufen wurde steht der Dateiname da drinn. Oder jemand hat sich auf die Seite eingeloggt und surft nun weiter im www. Dann wird die "geschützte" Seite als Referrer in der Statistik des nachfolgend angesurften Servers auftauchen.

                              Bei .htaccess siehst Du den Dateinamen zwar auch in der Statistik, aber Du wirst jedesmal nach dem Passwort gefragt.
                              Dieses Posting wurde aus 100% rezyklierten Elektronen hergestellt
                              und kann für die Umwelt absolut unschädlich gelöscht werden.

                              Kommentar

                              Lädt...
                              X