.htaccess Datei

[luky]

So dann hab ich auch mal ne frage:

Ich habe auf meinem Server eine ".htaccess" datei angelegt, (ich weiß super billiger schutz aber es reicht) die auf einer Internetseite als Passwort schutz dienen soll...
Soweit funktioniert auch alles nun hab ich gehört das es auch noch andere funktionen wie zum beispiel, eine eigene Fehlermeldungsseite anzeigen gibt und da sind wir nun bei meinen Problem angelangt!

Warum zum teufel funktioniert das anzeigen dieser Seite nicht!?

ErrorDocument 403 http://home.arcor.de/XXX/XXX/verboten.html
ErrorDocument 404 http://home.arcor.de/XXX/XXX/verboten.html
ErrorDocument 405 http://home.arcor.de/XXX/XXX/verboten.html
AuthGroupFile /dev/null
AuthName XXXXX
AuthType Basic
Auth_MySQL off
require valid-user

würde mich freuen wenn einer von euch ne lösung wüsste!?
gruß luky

 

[[starfoxx]]

Original von luky
ich weiß super billiger schutz aber es reicht

Thach luky, ich habe keine Antwort auf deine Frage, aber ich möchte wissen wie sicher das ist, und of das ohne ftp zugang überhaupt "hackbar" ist.

Könnte jemand dazu 2-3 worte fallen lassen, wäre toll!

Sorry fürs neben-der-frage posten.
Ich hoffe du verzeihst mir das, wenn nicht lass es mich wissen, dann editier ich das hier auf "bitte löschen" oder sowas.

 

[luky]

Hi starfoxx,

das ist kein problem, hoffe nur das mir dann noch einer auf meine Frage antwortet, deshalb beantworte ich mal schnell selber deine frage
habe mich nähmlich gerade ein wenig umgehört/geguckt und herausgefunden das der Schutz über die .htaccess (momentan) eine der sichersten ist, vorrausgesetzt Du nutzt sichere Passwörter.

luky

edit:
hab da ne ganz nette Seite gefunden:
http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/index.htm#a5

Mindestlänge maximal benötigte Zeit (bei angenommener 1 Million Tastaturanschlägen pro Sekunde)
3 Zeichen ca. 0,2 Sekunden
5 Zeichen ca. 14 Minuten
8 Zeichen ca. 53252 Stunden
10 Zeichen ca. 1179469 Wochen
12 Zeichen ca. 84168853 Jahre
15 Zeichen ca. 19104730610573 Jahre

Alle diese Angaben sind sogenannte Maximalzeiten!

 

[bikmaek]

Original von luky

ErrorDocument 403 [URL]http://home.arcor.de/XXX/XXX/verboten.html[/URL]
ErrorDocument 404 [URL]http://home.arcor.de/XXX/XXX/verboten.html[/URL]
ErrorDocument 405 [URL]http://home.arcor.de/XXX/XXX/verboten.html[/URL]
AuthGroupFile /dev/null
AuthName XXXXX
AuthType Basic
Auth_MySQL off
require user hanswurst

das sollte funzen. aber teste erst mal ob du die fehlersites überhaupt direkt aufrufen kannst oder nicht. denn wenn du die so NICHT aufrufen kannst, dann kann das auch nicht über das .htaccess gehen.

ach ja: .htaccess dateien kann man (unter normaler serverkonfiguration) NICHT sehen / runterladen. somit muss man USERNAME UND PASSWORT wissen / hacken. das sind dann 2 dinge die man machen muss. und somit ist .htaccess eines der sichersten webzugangsschutze (tolles wort wa? ) die es gibt

mfg bikky

 

[CPU8080]

Also der ErrorDocument zeugs ist richtig, doch danach sind ein paar Fehler. Dazu siehe hier: Link

Und dann würde ich mit ErrorDocument den Fehlercode 500 abfangen lassen, denn der Fehler wird ausgelöst wenn du da bei dir im cgi script einen fehler gebaut hast.

Hoffe konnt helfen

edit: bikmaek war schneller

 

[luky]

Ne direkt kann ich auf die Seite gehen, nur durch die .htaccess datei nicht, sonst funzt ja auch alles. Also der Passwort schutz usw...

Hab mich vielleicht ein bisschen falsch ausgedrückt, die "normale" fehlermeldung funktioniert

Nur mit der Fehlermeldung wenn man ein falsches Passwort eingibt hab ich noch probleme!
Da kommt dann immer noch die falsche...

jetzt funzt komischerweiße auch nicht mehr der passwort schutz ?(
(aber das liegt wohl gearde an mir)

 

[xeno]

Mindestlänge maximal benötigte Zeit (bei angenommener 1 Million Tastaturanschlägen pro Sekunde)
3 Zeichen ca. 0,2 Sekunden
5 Zeichen ca. 14 Minuten
8 Zeichen ca. 53252 Stunden
10 Zeichen ca. 1179469 Wochen
12 Zeichen ca. 84168853 Jahre
15 Zeichen ca. 19104730610573 Jahre

Alle diese Angaben sind sogenannte Maximalzeiten!

hmm das trifft zu wenn du die passwd datei hast. über den browser will ich sehen dass ein programm eine million kombinationen/s schafft.

 

[bikmaek]

Original von luky
Nur mit der Fehlermeldung wenn man ein falsches Passwort eingibt hab ich noch probleme!
Da kommt dann immer noch die falsche...

so mal ne kleine input für dich

wenn du das falsche passwort eingibst, kommt immer eine fehlermeldung! (diese kann NICHT umgeleitet werden, da ja der zugang nicht erlaubt wurde)

da ja serverseitig der zugang nun verboten wurde, kann nicht auf den server zugegriffen werden. wäre ja paradox (bei excel heißt sowas sehr nett "zirkelbezug")

mfg bikky

 

[luky]

okay so langsam dämmert es bei mir..!


trozdem danke!
gruß luky^^

 

[BattleMaker]

An deiner Stelle würde ich die ErrorDocs in einer .htaccess im ROOT-Verzeichnis des Webspaces angeben.
Wenn du nämlich die ErrorDocs von dem Passwortschutz getrennt ablegst, verfällt der "Zirkelbezug" und es sollte funktionieren.


MfG, BattleMaker

 

[bikmaek]

stimmt BattleMaker

aber wenn die .htaccess im root ist ... dann ist es wieder soweit

ich sach ja: paradox

mfg bikky

 

[BattleMaker]

Man kann es ja so einrichten, dass der Passwortschutz eben _nicht_ im ROOT-Verzeichnis liegt. Bei meinem Anbieter kann ich immer Subdomains (u. normale Domains auch) so einstellen, dass sie von vornherein auf Unterordner verweisen, d.h. der Zugriff auf das ROOT-Verzeichnis ist einfach so schon mal nicht möglich.


MfG, BattleMaker

 

[luky]

so jetzt noch mal für ... naja für mich, also wenn ich das richtig verstanden haben, dann ist es möglich, da meine .htaccess datei und die dazugehörige passwort datei in einem unterverzeichniss (einer subdomain) liegen.

So weit richtig?
und wie stelle ich dann die fehlermeldung ein?

ist eigentlich auch nicht soo wichtig würde mich einfach mal nur interessieren, da ich an dieser geschichte schon sehr lange sitze! =)

 

[BattleMaker]

Also in deinem ROOT-Verzeichnis liegen die html-Dateien für die Fehlermeldungen, also 404.html usw.

Im selben Verzeichnis (ROOT) legst du auch die .htaccess-Datei ab. In dieser werden aber nur die ErrorDocs festgelegt, nicht der Passwortschutz.
Z.B. so:

ErrorDocument 403 403.html
ErrorDocument 404 404.html
ErrorDocument 405 405.html

In einem beliebigen Unterordner kannst du jetzt eine weitere .htaccess-Datei anlegen, in der irgendein Passwort-Schutz festgelegt wird. Wenn der Login fehlschlägt, wird die Datei 403.html aus dem ROOT-Verzeichnis als Fehlermeldung genommen, denn die Einstellungen von .htaccess-Dateien wirken sich in allen Unterordnern aus.


MfG, BattleMaker

 

[luky]

ahh okay verstehe!
da muss man ersteinmal drauf kommen aber eingentlich ganz logisch!

vielen dank!
gruß luky

ps: sehr paradox

 

[phx1024]

Ein Grund für das nichtauftreten deiner eigenen Fehlerseiten könnte sein das sie zu klein sind. Der IE zum beispiel stellt keine Errorpages dar die kleiner als 512Byte groß sind. Und zeigt in dem Moment die StandartErrorPages an.

Grüße phx1024

 

[brain21]

Original von luky
habe mich nähmlich gerade ein wenig umgehört/geguckt und herausgefunden das der Schutz über die .htaccess (momentan) eine der sichersten ist, vorrausgesetzt Du nutzt sichere Passwörter.

Ähm, entschuldigung, ich möchte eigentlich ungern dazwischenfunken. Die Sicherheit von .htaccess ist von zwei Hauptfaktoren abhängig, einmal vom Passwort selber, wie schon richtig erkannt, und außerdem noch von der verwendeten Software auf dem Server. Denn das, was passiert, wenn man auf den .htaccess geschützten Bereich zugreift, hängt davon ab, was der Server dazu sagt.

Ein Kollege hat mir davon berichtet, dass er mit simplen (blöden) Scannen (vie Intellitamper etc.) auf die Passwortdatei zugreifen konnte (Aussage ohne Gewähr).

 

[LX]

Original von brain21
Ein Kollege hat mir davon berichtet, dass er mit simplen (blöden) Scannen (vie Intellitamper etc.) auf die Passwortdatei zugreifen konnte (Aussage ohne Gewähr).

Wenn man die Passwortdatei in einem öffentlichen Verzeichnis liegen hat, ist das durchaus im Bereich des möglichen. Aber schlauerweise legt man die .htpasswd entweder in den geschützten Bereich selbst oder außerhalb des DOCUMENT_ROOT des Webservers. Dann ist das Ding so sicher wie das Passwort und die restliche Serverkonfiguration es zulassen.