[HaBo]

luky

Anzeige

So dann hab ich auch mal ne frage:

Ich habe auf meinem Server eine ".htaccess" datei angelegt, (ich weiß super billiger schutz aber es reicht) die auf einer Internetseite als Passwort schutz dienen soll...
Soweit funktioniert auch alles nun hab ich gehört das es auch noch andere funktionen wie zum beispiel, eine eigene Fehlermeldungsseite anzeigen gibt und da sind wir nun bei meinen Problem angelangt!

Warum zum teufel funktioniert das anzeigen dieser Seite nicht!?

ErrorDocument 403 http://home.arcor.de/XXX/XXX/verboten.html
ErrorDocument 404 http://home.arcor.de/XXX/XXX/verboten.html
ErrorDocument 405 http://home.arcor.de/XXX/XXX/verboten.html
AuthGroupFile /dev/null
AuthName XXXXX
AuthType Basic
Auth_MySQL off
require valid-user

würde mich freuen wenn einer von euch ne lösung wüsste!?
gruß luky

[starfoxx]

Thach luky, ich habe keine Antwort auf deine Frage, aber ich möchte wissen wie sicher das ist, und of das ohne ftp zugang überhaupt "hackbar" ist.

Könnte jemand dazu 2-3 worte fallen lassen, wäre toll!

Sorry fürs neben-der-frage posten.
Ich hoffe du verzeihst mir das, wenn nicht lass es mich wissen, dann editier ich das hier auf "bitte löschen" oder sowas.

luky

Hi starfoxx,

das ist kein problem, hoffe nur das mir dann noch einer auf meine Frage antwortet, deshalb beantworte ich mal schnell selber deine frage
habe mich nähmlich gerade ein wenig umgehört/geguckt und herausgefunden das der Schutz über die .htaccess (momentan) eine der sichersten ist, vorrausgesetzt Du nutzt sichere Passwörter.

luky

edit:
hab da ne ganz nette Seite gefunden:
http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/index.htm#a5

Mindestlänge maximal benötigte Zeit (bei angenommener 1 Million Tastaturanschlägen pro Sekunde)
3 Zeichen ca. 0,2 Sekunden
5 Zeichen ca. 14 Minuten
8 Zeichen ca. 53252 Stunden
10 Zeichen ca. 1179469 Wochen
12 Zeichen ca. 84168853 Jahre
15 Zeichen ca. 19104730610573 Jahre

Alle diese Angaben sind sogenannte Maximalzeiten!

bikmaek

das sollte funzen. aber teste erst mal ob du die fehlersites überhaupt direkt aufrufen kannst oder nicht. denn wenn du die so NICHT aufrufen kannst, dann kann das auch nicht über das .htaccess gehen.

ach ja: .htaccess dateien kann man (unter normaler serverkonfiguration) NICHT sehen / runterladen. somit muss man USERNAME UND PASSWORT wissen / hacken. das sind dann 2 dinge die man machen muss. und somit ist .htaccess eines der sichersten webzugangsschutze (tolles wort wa? ) die es gibt

mfg bikky

__________________

CPU8080

Also der ErrorDocument zeugs ist richtig, doch danach sind ein paar Fehler. Dazu siehe hier: Link

Und dann würde ich mit ErrorDocument den Fehlercode 500 abfangen lassen, denn der Fehler wird ausgelöst wenn du da bei dir im cgi script einen fehler gebaut hast.

Hoffe konnt helfen

edit: bikmaek war schneller

luky

Ne direkt kann ich auf die Seite gehen, nur durch die .htaccess datei nicht, sonst funzt ja auch alles. Also der Passwort schutz usw...

Hab mich vielleicht ein bisschen falsch ausgedrückt, die "normale" fehlermeldung funktioniert

Nur mit der Fehlermeldung wenn man ein falsches Passwort eingibt hab ich noch probleme!
Da kommt dann immer noch die falsche...

jetzt funzt komischerweiße auch nicht mehr der passwort schutz ?(
(aber das liegt wohl gearde an mir)

xeno

hmm das trifft zu wenn du die passwd datei hast. über den browser will ich sehen dass ein programm eine million kombinationen/s schafft.

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

bikmaek

so mal ne kleine input für dich

wenn du das falsche passwort eingibst, kommt immer eine fehlermeldung! (diese kann NICHT umgeleitet werden, da ja der zugang nicht erlaubt wurde)

da ja serverseitig der zugang nun verboten wurde, kann nicht auf den server zugegriffen werden. wäre ja paradox (bei excel heißt sowas sehr nett "zirkelbezug")

mfg bikky

__________________

luky

okay so langsam dämmert es bei mir..!


trozdem danke!
gruß luky^^

BattleMaker

An deiner Stelle würde ich die ErrorDocs in einer .htaccess im ROOT-Verzeichnis des Webspaces angeben.
Wenn du nämlich die ErrorDocs von dem Passwortschutz getrennt ablegst, verfällt der "Zirkelbezug" und es sollte funktionieren.


MfG, BattleMaker

bikmaek

stimmt BattleMaker

aber wenn die .htaccess im root ist ... dann ist es wieder soweit

ich sach ja: paradox

mfg bikky

__________________

BattleMaker

Man kann es ja so einrichten, dass der Passwortschutz eben _nicht_ im ROOT-Verzeichnis liegt. Bei meinem Anbieter kann ich immer Subdomains (u. normale Domains auch) so einstellen, dass sie von vornherein auf Unterordner verweisen, d.h. der Zugriff auf das ROOT-Verzeichnis ist einfach so schon mal nicht möglich.


MfG, BattleMaker

luky

so jetzt noch mal für ... naja für mich, also wenn ich das richtig verstanden haben, dann ist es möglich, da meine .htaccess datei und die dazugehörige passwort datei in einem unterverzeichniss (einer subdomain) liegen.

So weit richtig?
und wie stelle ich dann die fehlermeldung ein?

ist eigentlich auch nicht soo wichtig würde mich einfach mal nur interessieren, da ich an dieser geschichte schon sehr lange sitze!

BattleMaker

Also in deinem ROOT-Verzeichnis liegen die html-Dateien für die Fehlermeldungen, also 404.html usw.

Im selben Verzeichnis (ROOT) legst du auch die .htaccess-Datei ab. In dieser werden aber nur die ErrorDocs festgelegt, nicht der Passwortschutz.
Z.B. so:
In einem beliebigen Unterordner kannst du jetzt eine weitere .htaccess-Datei anlegen, in der irgendein Passwort-Schutz festgelegt wird. Wenn der Login fehlschlägt, wird die Datei 403.html aus dem ROOT-Verzeichnis als Fehlermeldung genommen, denn die Einstellungen von .htaccess-Dateien wirken sich in allen Unterordnern aus.


MfG, BattleMaker

luky

ahh okay verstehe!
da muss man ersteinmal drauf kommen aber eingentlich ganz logisch!

vielen dank!
gruß luky

ps: sehr paradox