Erfahrungsbericht: Passwortschutz mit htaccess im Freespace
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
-
Guten Abend.
Ich möchte hier meine Erfahrungen mit dem oben angeführten Thema bekanntgeben.
Meine Dateien:
.htaccess:
AuthType Basic
AuthName "Administrationsbereich"
AuthUserfile https://home/webpages/lima-city/BENUTZERNAME/.htpasswd
Require user BENUTZER
Anmerkung: BENUTZERNAME und BENUTZER müsst ihr durch eigene Namen ersetzen. Der Benutzername ist der Name, mit dem ihr euch im FTP-Filemanager anmeldet.
Der BENUTZER ist eine (oder mehrere) Person(en), die Zugang zu eurer Domain bekommen sollen.
.htpasswd:
Benutzer:Passwort
Hier stehen Zugangsdaten aller Benutzer, die Zugang zum jeweiligen Verzeichnis haben sollen - jeweils eine Zeile mit dem Nutzer und seinem verschlüsselten Passwort. Der Benutzername in dieser Datei hat nichts mit dem BENUTZERNAMEN in der .htaccess zu tun - das sind zwei verschiedene Dinge!
Die Datei .htpasswd speichert ihr im root-Verzeichnis eures Datei-Managers.
Die Datei .htaccess habe ich im Verzeichnis root/default gespeichert.
Nach dem Aufruf meiner Domain wurde das Dialogfeld für die Eingabe des Benutzers und des Passworts angezeigt.
Nach der Eingabe des Benutzernamens und des unverschlüsselten Passworts kam eine Fehlermeldung -ich soll den Administrator bitten, im Errorlog nachzusehen (Uhrzeit und Datum des Zugriffs soll man dem Admin mitteilen).
Als erste Reaktion habe ich mal die Zugriffsrechte von .htpasswd und .htaccess auf read und write für den Besitzer(Owner) und read für alle anderen (Everyone) gesetzt, aber das hat nichts gebracht.
Ich glaube daher, das Problem liegt beim Passwort.
Ich hoffe, dieser kurze Erfahrungsbericht hilft bei den ersten Schritten zum Passwortschutz im Freespace.
Beitrag zuletzt geändert: 7.7.2020 20:52:26 von joergreven -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hi,
nix für ungut, aber das ist die wohl älteste Methode ein Verzeichnis zu schützen, allerdings nicht die eleganteste!
Zusätzlich gibt es zig Tutorials, die den Einsatz beschreiben. -
Hallo joergreven,
joergreven schrieb:
Ich glaube daher, das Problem liegt beim Passwort.
..
tchiarcos schrieb:
Hi,
nix für ungut, aber das ist die wohl älteste Methode ein Verzeichnis zu schützen, allerdings nicht die eleganteste!
Welche eleganteren Methoden kennst du?
Ja, es gibt zahlreiche Tutorials. Meistens scheitern die User am Passwort. Unterschiedliche Server verwenden auch unterschiedliche Verschlüsselungsmethoden. Für Lima-City Server habe ich einen Passwortgenerator gebastelt.
https://timebandit.lima-city.de/joergreven/
lg,
timebandit
-
timebandit schrieb:
Welche eleganteren Methoden kennst du?
Ja, es gibt zahlreiche Tutorials. Meistens scheitern die User am Passwort. Unterschiedliche Server verwenden auch unterschiedliche Verschlüsselungsmethoden.
Also ich selbst arbeite sehr gern mit Sessions, denn auch ohne einen ordentlichen Logout läuft die Session nach einer vordefinierten Zeit aus. Darüber hinaus muss sich das aus dem jeweiligen Projekt ergeben, was einem am ehesten passt.
htaccess ist etabliert. Allerdings auch nicht ohne Risiko. Ein findiger Hacker kann das Passwort auslesen und insofern es nicht kryptisch abgelegt wurde, kann dieser dann leicht zugreifen. Zugegeben, das erfolgt wenn, dann eher auf hochfrequentierten Datenservern oder Servern mit vermeintlich geheimen Daten (bspw. Firmendaten).
Je nachdem, was genau geschützt werden soll, kann htaccess ausreichen oder eine etwas komplexere Loginbasis, das liegt bei jedem selbst und ist abhängig vom Projekt.
idR sollte zudem jede gängig Loginform auf allen Servern gleichmäßig funktionieren, außer der Versionsunterschied ist zu groß. -
Vielleicht liegt das Problem auch gar nicht bei mir - laut Statusseite hat der Freespace Teilausfälle.
@timebandit: Vielen Dank für den Passwortgenerator.
-
Hallo joergreven,
joergreven schrieb:
Vielleicht liegt das Problem auch gar nicht bei mir - laut Statusseite hat der Freespace Teilausfälle.
Wenn dem so wäre, dann müsste deine site auch down sein.
Meine Testseiten sind auch im Free-Webspace. Das Resultat aus .htaccess und Passwortgenerator findest du hier:
https://timebandit.lima-city.de/joergreven/geheim/
Zur Vereinfachung und nur zu Testzwecken die Zugangsdaten:
Benutzername: admin und Passwort:admin
lg
timebandit
Beitrag zuletzt geändert: 9.7.2020 20:14:52 von timebandit -
joergreven schrieb:
AuthType Basic
AuthName "Administrationsbereich"
AuthUserfile https://home/webpages/lima-city/BENUTZERNAME/.htpasswd
Require user BENUTZER
Dazu sollte man anmerken: Das "https" gehört da natürlich nicht hin. Ebenso ist bei älteren Accounts ggf. auch ein anderer Pfad notwendig.
Wenn man mehreren Nutzern den Zugriff erlauben will, dann einfach bei "Require user" ergänzen bzw. "Require valid user" um allen die in der htpasswd stehen den Zugriff zu erlauben.
tchiarcos schrieb:
Also ich selbst arbeite sehr gern mit Sessions, denn auch ohne einen ordentlichen Logout läuft die Session nach einer vordefinierten Zeit aus. Darüber hinaus muss sich das aus dem jeweiligen Projekt ergeben, was einem am ehesten passt.
Will man nur statische Inhalte schützen lohnt es sich imo nicht da extra noch Scripts zu nutzen. Neben der Einrichtung muss man die natürlich auch aktuell halten. Auch die Performance leidet darunter, auch wenn das bei den meisten Usern wohl kaum auffallen dürfte.
tchiarcos schrieb:
htaccess ist etabliert. Allerdings auch nicht ohne Risiko. Ein findiger Hacker kann das Passwort auslesen und insofern es nicht kryptisch abgelegt wurde, kann dieser dann leicht zugreifen.
Plain-Text-Passwörter sind bei Apache schon seit etlichen Versionen nicht mehr erlaubt und afair nicht mal mehr möglich.
Da ist die Gefahr eher dass irgendwelche Leute dann selbst Scripts schreiben und das Passwort im Klartext ablegen höher.
Wir hatten ja im Chat schon Kandidaten die das getan haben weil sie Verschlüsselung für "unnütz" empfinden. -
muellerlukas schrieb:
tchiarcos schrieb:
Also ich selbst arbeite sehr gern mit Sessions, denn auch ohne einen ordentlichen Logout läuft die Session nach einer vordefinierten Zeit aus. Darüber hinaus muss sich das aus dem jeweiligen Projekt ergeben, was einem am ehesten passt.
Will man nur statische Inhalte schützen lohnt es sich imo nicht da extra noch Scripts zu nutzen. Neben der Einrichtung muss man die natürlich auch aktuell halten. Auch die Performance leidet darunter, auch wenn das bei den meisten Usern wohl kaum auffallen dürfte.
Stimmt schon, deswegen habe ich auch darauf verwiesen, dass htaccess auch ausreichen kann. Ich selbst mag es nicht wirklich und habe es seit den Anfängen nicht mehr genutzt
muellerlukas schrieb:
tchiarcos schrieb:
htaccess ist etabliert. Allerdings auch nicht ohne Risiko. Ein findiger Hacker kann das Passwort auslesen und insofern es nicht kryptisch abgelegt wurde, kann dieser dann leicht zugreifen.
Plain-Text-Passwörter sind bei Apache schon seit etlichen Versionen nicht mehr erlaubt und afair nicht mal mehr möglich.
Da ist die Gefahr eher dass irgendwelche Leute dann selbst Scripts schreiben und das Passwort im Klartext ablegen höher.
Wir hatten ja im Chat schon Kandidaten die das getan haben weil sie Verschlüsselung für "unnütz" empfinden.
Wusste ich nicht! Wie oben erwähnt, sind meine Kenntnisse von htaccess aus meinen Anfangszeiten, die schon so einige Jahre her sind. Ich selbst habe mich eher auf Sessions konzentriert, auch wenn diese nicht immer notwendig sind. Wenn man es immer nutzt, dann macht es mir die Arbeit etwas einfacher, als jedes mal etwas Designtechnisch passendes zu basteln. -
Vielen Dank an alle für die Ratschläge - mein passwortgesicherter Zugang funktioniert jetzt !
Hier nochmal eine Zusammenfassung:
.htaccess:
AuthType Basic
AuthName "Administrationsbereich"
AuthUserfile /home/webpages/lima-city/Benutzername/html/.htpasswd
Require valid-user
.htpasswd:
admin:$1$P.jcR0YQ$NigGXZeiP/qwEGzgI4Pi1.
Das Thema ist damit erledigt, und der Beitrag kann geschlossen werden.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage