Öhhm joa hi leute hab da mal ne wichtige frage

zur zeit versuche ich einem freund eine seite einzurichten das heisst die is im prinzip schon fertig nur will er jetzt noch nen passwort geschützten bereich haben .... also hab ich mich an htaccess gesetzt aber irgenwie will dieser scheiss ned klappen .....
bitte um hilfe mfg da p. snick

Meine htaccess:

# Intern
AuthType Basic
AuthName "Dangerous Area"
AuthUserFile .htpasswd
valid-users admin

Mein htpasswd:

# passwöter
admin:***

anstatt den sternen steht da halt das pw
beide liegen im gleichen ordner ..

oder gibt es noch ne andere möglichkeit nen pw bereich einzurichten ohne gleich php zu können ^^

Benutze den htaccess Generator von Swissweb (http://support.swiss-web.com/doc/htaccess/), der ist wirklich gut beschrieben und funktioniert auch.

wichtiger hinweis: htaccess funktioniert nur wenn dein Apache Server auch richtig konfiguriert ist.

Jo vielen dank werde das jetzt mal ausprobieren ....

Schreib doch einfach mal anstatt der Zeile:

valid-users admin

diese hier:

Require valid-user

You want to restrict access to a website.
You can do this with .htaccess.

1. Create a file called .htaccess in the directory where the website is placed
you want to secure.

2. In .htaccess you must write in the path to the file .htusers.
It does not matter, WHERE .htusers is placed. You could place it in the
same directory where .htaccess is placed.
In the file .htaccess must be written:

AuthType Basic
AuthUserFile /srv/www/htdocs/phpMyAdmin/.htusers
Require valid-user

3. In the httpd.conf File, .htaccess must be enabled. Look for this section:

# use .htaccess files for overriding,
AccessFileName .htaccess
# and never show them
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>

4. Add a user to the htaccess Users. The User must exist on the system!

htpasswd2 <path_to_file_.htusers> <username> <userpassword>

So, if we want User max, with password max-pass to be able to authenticate
for the website, and the htpassword file lies in /srv/www/htdocs/stuff/.htusers then we would give the command:

htpasswd2 -nb /srv/www/htdocs/stuff/.htusers max max-pass


When we check the file htpassword in the path, we will see that User max was
added to htaccess users, and his password is there encrypted.

@spacyfreak:

in der .htaccess sollte man aber die Zeile "AuthType Basic" nicht weglassen, da die zur Auzthentifizierung dazugehört. (Momentan bleibt die Option aber noch irrelevant.)

Durch die Angabe von AuthType Basic werden die Passwörter im Klartext über das Netz übertragen. (Prinzipiell kann also jeder mit ein wenig Ahnung und Geduld an Passwörter kommen.)

Ein weiterer Standart Digest Authentication (AuthType Digest), der dieses Problem umgeht, existiert zwar, aber bis jetzt kann so gut wie kein Browser diese Art von Identifizierung.

Edit: Jetzt hat der spacy doch tasächlich den Text abgeändert, noch bevor ich meinen Senf dazu fertig geschrieben habe
Egal, lehrreich ist es allemal

Tja, manchmal bin ich schneller als die polizei erlaubt. LoL.
Naja, ich hab einfach meine eigene Doku vom Linux Server kopiert, ich dachte das ist effektiver, als häppchenweise unverständliches blah zu posten - auch wenns englisch ist. Hehe.

Jo vielen dank spacy es klappt jetzt ...



und noch was hab da was total simples enteckt ein java srcipt wo das pw auch gleich die seite ist naja htaccess
is besser

mfg da Project-snick

Um Himmels Willen Mach sowas ja nicht mit sensiblen Daten! Der "Schutz" ist nämlich nur pseudo.

^^ mach ich ja nicht aber interessant isses

...und überhaupt sensible daten sind das auch nicht die dort lagern ...soll halt nen bereich geschützt werden wo nur freunde rein können

.....
aber keine sorge hat ja jetzt mit htaccess geklappt

Naja, ich denke, Sicherheit ist relativ.
In einem geswitchten Netzwerk ist es verdammt schwierig, ein Passwort zu ersniffen. Bei Einsatz von Hubs sieht das schon anders aus.
In einem geswitchten (Firmen-)Netzwerk müsste man schon auf einem Routerport einen Mirrorport einrichten um was sniffen zu können.
Ohne Zugriff auf die Netzwerkkomponenten ist das nicht möglich.
Und unter den Millionen gesniffter Pakete müsste man dann noch die richtigen herausfiltern, die ein Passwort enthalten.
Das setzt viel Wissen über Protokolle etc voraus.

Greift man jedoch übers Internet z.b. von zu Hause auf seinen Webserver zu, passieren die Pakete (auch unverschlüsselte Passwörter) jedoch einige Router von diversen Providern. Da hat man als User keinen Einfluss drauf, welchen Weg sie nehmen, und wer wo die Pakete mitlesen kann.
So gesehen ist auch jede versendete Mail, die nicht verschlüsselt wird (und das sind wohl 98% aller Mails) genauso lesbar, wie eine Postkarte, die man mit der Post verschicken würde.
Jeder, der sie in die Hände kriegt, kann sie ohne Probleme lesen. Auch die Eingabe unseres Mail Passwortes, wenn wir zb ein Mailkonto bei Yahoo oder GMX haben ist in aller Regel unverschlüsselt, und kann theoretisch (als auch praktisch) von vielen Admins gelesen werden, die bei einem Provider arbeiten. Dennoch tippen wir das Passwort täglich ohne Gedanken in den Browser ein und erfreuen uns an aktuellen Werbemails, die uns freundliche Spammer zusenden.

Die Sicherung mit .htaccess ist besser als keine Sicherung.
Für höchst sensible Webseiten jedoch tatsächlich nicht empfehlenswert.