Stress mit .htaccess Einstellungen

[Conny]

Hallo!
folgendes Problem.
ich habe eine .htaccess Datei erstellt, eine .htusers und hochgeladen.
Gebe ich die Seite ein, wird nach Username und Paßwort gefragt (so weit so gut)

Bei der Paßwortvergabe geht es schief.
Das paßwort wird in der .htusers nach der (crypt-methode) verschlüßelt aufbewart.
Ich habe im Netz mindestens 10 Ausgabescripte gefunden mit dem man ein Paßwort für die .htusers verschlüßeln kann. Immer das gleiche Paßwort eingegeben aber jeder Generator gab ein anderes ergebnis!

Also, wie muß/kann ich mein Paßwort so verschlüßeln, daß es bei der Paßworteingabe vom Server (Apache) richtig intrepetiert wird???

Conny

[helpy]

Es gibt verschiedene Methoden, wie ein Kennwort verschlüsselt werden kann. Wende Dich dazu am besten an Deinen Provider.

Manche Provider bieten in der Account-Verwaltung eine Funktion an, mit der man Verzeichnisse schützen kann.

cu, helpy

[waltari]

Mit diesem Verschlüsseler funktioniert es bei mir ohne Probleme.
http://www.linux-profis.de/php3/crypt.php3

Bist du dir ansonsten sicher, dass alle deine Einträge zur Abfrage in der .htaccess korrekt sind? Wenn du schon so viele verschiedene Verschlüsselungstools ausprobiert hast, ist sicher dort irgendwo ein Fehler zu finden.

Wenn du deine Konfiguration der .htaccess und der .htusers mal hier veröffentlichen würdest, könnte ich dir vielleicht weiterhelfen. Ich kenn mich damit ziemlich aus.

Timo

[Conny]

Hi Timo,
mit genau solche Generatoren habe ich es viele Male versucht!
Hier mal der Inhalt aus der Datei .htaccess

QUELLTEXT

AuthType Basic

AuthName "Restricted Area"

AuthUserFile /secure/.htusers

require user  BlaBla

und hier der Inhalt aus der .htusers die auskommentierte (#) Codes sind die die ich bereits versucht habe!
Merke: Ich habe immer das gleiche Paßwort eingesetzt bei unterschiedlichen Generatoren, die alle unterschiedliche Ergebnissen brachten.... (letzter aktiver Code ist Timo's Link)

QUELLTEXT

BlaBla:TwLO1OYexkCh6



# FBKSyBBMZOUbk

# 1$1mKltKjNa0o

# VoUO4NFye75hM

# ooyL/r8OaEuzw

# $1$RqgJRrAR$IqV.SjmS3gu0Na6yNzV0J0

# 1$1mKltKjNa0o

# real: 1w4t7i

# INGLkU4QzLduU

# 86atW8jNFFiQA

Danke,
Conny

[i.b.g]

Hallo Conny,

mir fallen da zwei Dinge/Fragen auf.

1. Das Verzeichnis, das Du für das user-File angegeben hast, muss unbedingt den vollständigen Pfad zum root -Verzeichnis (absolute Angabe) beinhalten. Eine Angabe, die bei Deinem Webspace beginnt funktioniert nicht. Für eine vollständige Angabe scheint mir das etwas kurz, was dort steht. Es müsste eher so wie dies hier aussehen:

/usr/local/apache/htdocs/"connys-path"/secure/.htusers

Oder hast Du einen vollständigen eigenen Server?

2. Man muss wissen, welches Betriebssystem und welcher HTTP-Server auf dem Server-Rechner installiert sind. Davon ist die Verschlüsselung des Passwords abhängig. Bei einer Unix-/Linux-Maschine und Apache wäre es die unter Unix/Linux übliche Verschlüsselung. Die kann man z.B. mit der crypt-Funktion von Perl erzeugen. (Note that crypt is intended to be a one-way function, much like breaking eggs to make an omelette.) Bei mir lokal zum teste habe ich den JanaServer installiert, der eine MD5-Verschlüsselung benutzt. Auch einige andere Windows-basierte Systeme verwenden diese, und Windows selbst wohl auch.

Hoffe das hilft Dir etwas weiter.

[Netizen]

1. Das Verzeichnis, das Du für das user-File angegeben hast, muss unbedingt den vollständigen Pfad zum root -Verzeichnis (absolute Angabe) beinhalten.

Nur als Ergänzung: Es muß nicht zwangsläufig absolut sein, es geht auch relativ, dann allerdings relativ zum ServerRoot (nicht zu verwechseln mit dem DocumentRoot der Domain), was bei normalem Webspace natürlich nicht oder nur umständlich funktioniert.

Jedenfalls kann auch ein Blick ins Logfile nicht schaden (error-log), dort steht im Fehlerfall drin, wo der Apache die Datei vergeblich gesucht hat.

2. Man muss wissen, welches Betriebssystem und welcher HTTP-Server auf dem Server-Rechner installiert sind. Davon ist die Verschlüsselung des Passwords abhängig.

Das einfachste dürfte sein (sofern möglich), sich per SSH auf dem Server einzuloggen und dort die Passwort-Datei mittels htpasswd anzulegen.

Ich hab das hier lokal gerade mal getestet, meine .htaccess sieht so aus:

QUELLTEXT

AuthType basic

AuthName "Admin Section"

AuthUserFile /home/www/netizen/.security/.htusers

require user netizen

Die .htusers-Datei hab ich direkt in dem Verzeichnis mit dem Befehl

QUELLTEXT

htpasswd -c .htusers netizen

angelegt. htpasswd fragt dann nach dem Passwort und dessen Bestätigung - das wars. Seite im Browser aufgerufen, Login-Fenster erscheint, Daten eingegeben und Zugang erhalten.

HTH
n!

[waltari]

Hallo Conny,

Versuch es mal so:

QUELLTEXT

AuthUserFile /root/secure/.htusers

AuthName "Restricted Area"

AuthType Basic

<Limit GET>

require user BlaBla

</Limit>

i.b.g hat Recht mit dem Pfad. Es muss der absolute Pfad zum Hauptverzeichnis sein.

[Conny]

Ok, sehr viel Info auf einmal!
Danke erstmal.
Ich werde mich nun mit den neu gewonnenen Informationen auf dem Weg machen.

to be continued...

Conny

[Auge]

Hallo

Noch ein Tip:

Die crypt-Funktion kann auch einen Salt beinhalten.
Der wird beim Verschlüsseln mit angegeben, und bewirkt, daß
das verschlüsselte Passwort z.B. immer mit einer bestimmten
Zeichenkette beginnt.
Bei mehreren deutschen Providern habe ich schon den Salt IN
gesehen.

Das kann so aussehen: INahYgSk2vI

Du solltest dich also wirklich an deinen Provider wenden.
Der kann es dir sagen/schreiben, nach welcher Methode bei ihm
verschlüsselt wird.

Tschö, Auge

[theotull]

i.b.g hat Recht mit dem Pfad. Es muss der absolute Pfad zum Hauptverzeichnis sein.

Und wenn man den Pfad nicht weiss, nützt folgendes 4 KB grosses Tool:
http://www.planetc.de/download/planetfastp...astprotect.html

Und wenn es auch nicht die beiden Dateien erzeugen kann (z.B. wegen Rechteeinschränkung o.ä.), so zeigt es bei der Fehlermeldung zumindest den Pfad an, den man dann ja händisch eintragen kann :wink:

Gruss
Theo

[Google Bot]