Stress mit .htaccess Einstellungen

[Conny]

Hallo!
folgendes Problem.
ich habe eine .htaccess Datei erstellt, eine .htusers und hochgeladen.
Gebe ich die Seite ein, wird nach Username und Paßwort gefragt (so weit so gut)

Bei der Paßwortvergabe geht es schief.
Das paßwort wird in der .htusers nach der (crypt-methode) verschlüßelt aufbewart.
Ich habe im Netz mindestens 10 Ausgabescripte gefunden mit dem man ein Paßwort für die .htusers verschlüßeln kann. Immer das gleiche Paßwort eingegeben aber jeder Generator gab ein anderes ergebnis!

Also, wie muß/kann ich mein Paßwort so verschlüßeln, daß es bei der Paßworteingabe vom Server (Apache) richtig intrepetiert wird???

Conny

[helpy]

Es gibt verschiedene Methoden, wie ein Kennwort verschlüsselt werden kann. Wende Dich dazu am besten an Deinen Provider.

Manche Provider bieten in der Account-Verwaltung eine Funktion an, mit der man Verzeichnisse schützen kann.

cu, helpy

[waltari]

Mit diesem Verschlüsseler funktioniert es bei mir ohne Probleme.
http://www.linux-profis.de/php3/crypt.php3

Bist du dir ansonsten sicher, dass alle deine Einträge zur Abfrage in der .htaccess korrekt sind? Wenn du schon so viele verschiedene Verschlüsselungstools ausprobiert hast, ist sicher dort irgendwo ein Fehler zu finden.

Wenn du deine Konfiguration der .htaccess und der .htusers mal hier veröffentlichen würdest, könnte ich dir vielleicht weiterhelfen. Ich kenn mich damit ziemlich aus.

Timo

[Conny]

Hi Timo,
mit genau solche Generatoren habe ich es viele Male versucht!
Hier mal der Inhalt aus der Datei .htaccess

QUELLTEXT

AuthType Basic

AuthName "Restricted Area"

AuthUserFile /secure/.htusers

require user  BlaBla

und hier der Inhalt aus der .htusers die auskommentierte (#) Codes sind die die ich bereits versucht habe!
Merke: Ich habe immer das gleiche Paßwort eingesetzt bei unterschiedlichen Generatoren, die alle unterschiedliche Ergebnissen brachten.... (letzter aktiver Code ist Timo's Link)

QUELLTEXT

BlaBla:TwLO1OYexkCh6



# FBKSyBBMZOUbk

# 1$1mKltKjNa0o

# VoUO4NFye75hM

# ooyL/r8OaEuzw

# $1$RqgJRrAR$IqV.SjmS3gu0Na6yNzV0J0

# 1$1mKltKjNa0o

# real: 1w4t7i

# INGLkU4QzLduU

# 86atW8jNFFiQA

Danke,
Conny

[i.b.g]

Hallo Conny,

mir fallen da zwei Dinge/Fragen auf.

1. Das Verzeichnis, das Du für das user-File angegeben hast, muss unbedingt den vollständigen Pfad zum root -Verzeichnis (absolute Angabe) beinhalten. Eine Angabe, die bei Deinem Webspace beginnt funktioniert nicht. Für eine vollständige Angabe scheint mir das etwas kurz, was dort steht. Es müsste eher so wie dies hier aussehen:

/usr/local/apache/htdocs/"connys-path"/secure/.htusers

Oder hast Du einen vollständigen eigenen Server?

2. Man muss wissen, welches Betriebssystem und welcher HTTP-Server auf dem Server-Rechner installiert sind. Davon ist die Verschlüsselung des Passwords abhängig. Bei einer Unix-/Linux-Maschine und Apache wäre es die unter Unix/Linux übliche Verschlüsselung. Die kann man z.B. mit der crypt-Funktion von Perl erzeugen. (Note that crypt is intended to be a one-way function, much like breaking eggs to make an omelette.) Bei mir lokal zum teste habe ich den JanaServer installiert, der eine MD5-Verschlüsselung benutzt. Auch einige andere Windows-basierte Systeme verwenden diese, und Windows selbst wohl auch.

Hoffe das hilft Dir etwas weiter.

[Netizen]

1. Das Verzeichnis, das Du für das user-File angegeben hast, muss unbedingt den vollständigen Pfad zum root -Verzeichnis (absolute Angabe) beinhalten.

Nur als Ergänzung: Es muß nicht zwangsläufig absolut sein, es geht auch relativ, dann allerdings relativ zum ServerRoot (nicht zu verwechseln mit dem DocumentRoot der Domain), was bei normalem Webspace natürlich nicht oder nur umständlich funktioniert.

Jedenfalls kann auch ein Blick ins Logfile nicht schaden (error-log), dort steht im Fehlerfall drin, wo der Apache die Datei vergeblich gesucht hat.

2. Man muss wissen, welches Betriebssystem und welcher HTTP-Server auf dem Server-Rechner installiert sind. Davon ist die Verschlüsselung des Passwords abhängig.

Das einfachste dürfte sein (sofern möglich), sich per SSH auf dem Server einzuloggen und dort die Passwort-Datei mittels htpasswd anzulegen.

Ich hab das hier lokal gerade mal getestet, meine .htaccess sieht so aus:

QUELLTEXT

AuthType basic

AuthName "Admin Section"

AuthUserFile /home/www/netizen/.security/.htusers

require user netizen

Die .htusers-Datei hab ich direkt in dem Verzeichnis mit dem Befehl

QUELLTEXT

htpasswd -c .htusers netizen

angelegt. htpasswd fragt dann nach dem Passwort und dessen Bestätigung - das wars. Seite im Browser aufgerufen, Login-Fenster erscheint, Daten eingegeben und Zugang erhalten.

HTH
n!

[waltari]

Hallo Conny,

Versuch es mal so:

QUELLTEXT

AuthUserFile /root/secure/.htusers

AuthName "Restricted Area"

AuthType Basic

<Limit GET>

require user BlaBla

</Limit>

i.b.g hat Recht mit dem Pfad. Es muss der absolute Pfad zum Hauptverzeichnis sein.

[Conny]

Ok, sehr viel Info auf einmal!
Danke erstmal.
Ich werde mich nun mit den neu gewonnenen Informationen auf dem Weg machen.

to be continued...

Conny

[Auge]

Hallo

Noch ein Tip:

Die crypt-Funktion kann auch einen Salt beinhalten.
Der wird beim Verschlüsseln mit angegeben, und bewirkt, daß
das verschlüsselte Passwort z.B. immer mit einer bestimmten
Zeichenkette beginnt.
Bei mehreren deutschen Providern habe ich schon den Salt IN
gesehen.

Das kann so aussehen: INahYgSk2vI

Du solltest dich also wirklich an deinen Provider wenden.
Der kann es dir sagen/schreiben, nach welcher Methode bei ihm
verschlüsselt wird.

Tschö, Auge

[theotull]

i.b.g hat Recht mit dem Pfad. Es muss der absolute Pfad zum Hauptverzeichnis sein.

Und wenn man den Pfad nicht weiss, nützt folgendes 4 KB grosses Tool:
http://www.planetc.de/download/planetfastp...astprotect.html

Und wenn es auch nicht die beiden Dateien erzeugen kann (z.B. wegen Rechteeinschränkung o.ä.), so zeigt es bei der Fehlermeldung zumindest den Pfad an, den man dann ja händisch eintragen kann :wink:

Gruss
Theo

[Gast_Tom._*]

Hallo,

da es thematisch passt, hab ich`s hier einfach mal drangehängt:

Frage: Was spricht das zu mir?

meinpfad___www.domain.de/forum/cache

da liegt drin:

.htaccess

<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>

Kann mir das einer der versierten Herrschaften mal übersetzten? Ich bin mir nämlich nicht sicher, ob die schon immer da war und weiss nicht wofür die gut ist.

Vielen Dank.


**********************************************************
Nachtrag: (...hab` gedacht 8) ) Kann es sein, dass diese .htacces den Zugriff auf dieses Verzeichnis explizit erlaubt? ...weil in den anderen ist soetwas nämlich nicht drin und die sind von extern gesperrt - glaub ich?!

[waltari]

Nachtrag: (...hab` gedacht  8) ) Kann es sein, dass diese .htacces den Zugriff auf dieses Verzeichnis explizit erlaubt? ...weil in den anderen ist soetwas nämlich nicht drin und die sind von extern gesperrt - glaub ich?!

Diese Datei verbietet den Zugriff auf das Verzeichnis eher exklusiv! "Deny from all" heißt, dass niemand auf das Verzeichnis zugreifen darf.

[Gast_Tom._*]

achso ich dachte wegen dem "allow"
aber klingt logisch, man kann ja auf jede datei zugreifen im gegensatz zum verbieten muss es ja normalerweise nicht explizit erlaubt werden ...naja, ich kämpf`grad einwenig mit den blöden .htaccess

danke


-----------------------------------------------------------------------------------
noch ne schlussfrage: verstehe ich das dann richtig, dass ich diese .htaccess überall reinspeichern kann, wo ich den zugriff verhindern möchte? :|

[Auge]

...naja, ich kämpf`grad einwenig mit den blöden .htaccess

Hier mal ein bißchen Lesestoff: http://selfaktuell.teamone.de/artikel/serv...ccess/index.htm
und: http://selfaktuell.teamone.de/artikel/serv...s-faq/index.htm

noch ne schlussfrage: verstehe ich das dann richtig, dass ich diese .htaccess überall reinspeichern kann, wo ich den zugriff verhindern möchte?

Ja, in jedes zu schützende Verzeichnis. Beachte: Die Angaben in der
.htaccess werden auf die Unterverzeichnisse vererbt, heißt, sie gelten
auch dort.
Allerdings kannst du für ein Unterverzeichnis mit noch einer .htaccess
neue Regeln aufstellen.

Tschö, Auge

[waltari]

noch ne schlussfrage: verstehe ich das dann richtig, dass ich diese .htaccess überall reinspeichern kann, wo ich den zugriff verhindern möchte?

Ja, in jedes zu schützende Verzeichnis. Beachte: Die Angaben in der
.htaccess werden auf die Unterverzeichnisse vererbt, heißt, sie gelten
auch dort.

Solange die Serverkonfiguration das zulässt. Der Provider kann den Zugriff auf die bzw. das Anlegen der .htaccess unterbinden. Vor allem in vielen Billigtarifen ist kein voller Zugriff auf die .htacces möglich.

[Auge]

Solange die Serverkonfiguration das zulässt. Der Provider kann den Zugriff auf die bzw. das Anlegen der .htaccess unterbinden. Vor allem in vielen Billigtarifen ist kein voller Zugriff auf die .htacces möglich.

Da hast du natürlich recht. Bei Umsonstangeboten ist meist keine
Möglichkeit zur Anlage einer .htaccess gegeben. Sobald man ein
Bezahlangebot hat, sollte aber zumindest die Möglichkeit bestehen,
einzelne Verzeichnisse vor unerwünschtem Zugriff zu schützen.

So jedenfalls meine Erfahrung.

Tschö, Auge

[Conny]

Hi Auge,

... Sobald man ein
Bezahlangebot hat, sollte aber zumindest die Möglichkeit bestehen,
einzelne Verzeichnisse vor unerwünschtem Zugriff zu schützen...

sollte, Du sagst es!
Ist bei mir leider nicht der Fall, obwohl ich eine BusinessHompage bei T-Online habe, habe ich diese Möglichkeit nicht!
Auf mein Nachfragen bekam ich die (sinngemäße) Antwort:
"Bei Ihnen geht das leider nicht, Sie haben diese Homepage schon recht lange (Ist seit 1999 lang?). Folglich liegen Ihre Seiten noch auf einem alten Server, da geht sowas nicht!"

Fazit: Klar kann ich .htaccess bekommen, ich muß 'nur' mit meine Homepage intern auf einen neueren Server umziehen (incl. KK Antrag!) und künftig das doppelte zahlen! :evil:

Der Server ist ein 'running Netscape'

Hast Du da noch Worte?
Conny

[Auge]

Ist bei mir leider nicht der Fall, obwohl ich eine BusinessHompage bei T-Online habe, habe ich diese Möglichkeit nicht!
Auf mein Nachfragen bekam ich die (sinngemäße) Antwort:
"Bei Ihnen geht das leider nicht, Sie haben diese Homepage schon recht lange (Ist seit 1999 lang?). Folglich liegen Ihre Seiten noch auf einem alten Server, da geht sowas nicht!"

Fazit: Klar kann ich .htaccess bekommen, ich muß 'nur' mit meine Homepage intern auf einen neueren Server umziehen (incl. KK Antrag!) und künftig das doppelte zahlen!  :evil:

Warum dann nicht gleich ganz weg?

Hast Du da noch Worte?

...

Tschö, Auge

[Gast_Tom._*]

Seiten noch auf einem alten Server, da geht sowas nicht!"

Warum? :?

Fazit: Klar kann ich .htaccess bekommen, ich muß 'nur' mit meine Homepage intern auf einen neueren Server umziehen (incl. KK Antrag!) und künftig das doppelte zahlen!  :evil:

Es soll ja Provider geben, die Verlangen keine Setupgebühr und der KK-Umzug kost` auch nix! Sind 24h kostenlos zu erreichen und kompetent. ...warum bleibst du bei der "Post"? :roll:

Hast Du da noch Worte?
Conny

NÖ! :wink:

[Google Bot]