nicht angemeldet
.htaccess / .htusers / .htgroups
Hallo zusammen
MudGuard schrieb gestern, dass es möglich sei, Passwörter per MD5 zu verschlüsseln ...
wenn ich danach jedoch das verschlüsselte Passwort in die .htusers-Datei eingebe, kann ich die Seiten nicht anzeigen (HTTP 403 - Vorbidden). Wenn ich das verschlüsselte Passwort in die aufforderung eingebe, funktioniert es.
Bist du sicher MudGuard ?!?
Grüsse aus der Schweiz
Reto Strub
-
hallo,
MadGuard schrieb gestern, dass es möglich sei, Passwörter per MD5 zu verschlüsseln ...
und damit hatte er durchaus was Richtiges geschrieben.
wenn ich danach jedoch das verschlüsselte Passwort in die .htusers-Datei eingebe, kann ich die Seiten nicht anzeigen (HTTP 403 - Vorbidden).
Muß denn da überhaupt in .htusers ein Paßwort drinstehen?
Wenn ich das verschlüsselte Passwort in die aufforderung eingebe, funktioniert es.
UPS? WIEBITTE? Du kriegst Zugang, wenn du es am Prompt des Clients verschlüsselt eintippst, obwohl es in keiner der drei von dir benannten Dateien auf dem Server drinsteht? Oder wo hast du es jetzt eingetragen? Am Prompt, den dein "Besucher" angezeigt bekommt, müßte er das Paßwort auch unverschlüsselt eintragen können (wenns denn auf dem Server existiert) und Zugang erhalten, hast du das mal probiert?
Bist du sicher MudGuard ?!?
Sicher ist er sicher. Aber du müßtest versuchen, genauer zu beschreiben, was du nun gemacht hast - also konkret, was auf dem _Server_ in dessen Zugangskonfiguration eingetragen wurde
Grüsse aus der Schweiz
schön wit weg ...
Grüße aus Berlin
Christoph S.
-
Also ... ich versuch's nochmal...
.htaccess:
AuthType Basic
AuthName "Administration"
AuthUserFile "../htdocs/.htusers"
AuthGroupFile "../htdocs/.htgroups"
require group FWV.htusers:
Admin:dt5
.htgroups:
FWV: AdminWenn ich das Passwort (dt5) mit MD5 verschlüssle kommt folgendes heraus: df75fe5f6ff3a2d33b46f14d48c6574d
wenn ich nun die .htusers-Datei auf das folgende abändere:
Admin:df75fe5f6ff3a2d33b46f14d48c6574d
Dann habe ich keinen zugang mehr. Es sei denn ich gebe bei der Aufforderung zur Passworteingabe "df75fe5f6ff3a2d33b46f14d48c6574d" das ein.Warum ?!?
-
Hallo,
Wenn ich das Passwort (dt5) mit MD5 verschlüssle kommt folgendes heraus: df75fe5f6ff3a2d33b46f14d48c6574d
wenn ich nun die .htusers-Datei auf das folgende abändere:
Admin:df75fe5f6ff3a2d33b46f14d48c6574d
Dann habe ich keinen zugang mehr. Es sei denn ich gebe bei der Aufforderung zur Passworteingabe "df75fe5f6ff3a2d33b46f14d48c6574d" das ein.Warum ?!?
Du solltest diese Datei nich von Hand editieren, sondern besser mit dem beiliegenden Progarmm htpasswd verwalten. Sonst stimmt die Dateistruktur nicht mehr, und der Server kann das verschlüsselte Passwort nicht mehr erkennen und schaltet dann auf Plaintext-Passwort 'zurück'.
Beispiel:
htpasswd -mb .htuser Admin dt5Grüße
Klaus -
morgens,
Wenn ich das Passwort (dt5) mit MD5 verschlüssle kommt folgendes heraus: df75fe5f6ff3a2d33b46f14d48c6574d
wenn ich nun die .htusers-Datei auf das folgende abändere:
Admin:df75fe5f6ff3a2d33b46f14d48c6574d
Dann habe ich keinen zugang mehr.richtig. Schließlich ist ein Paßwort dazu da, daß du ohne dieses Paßwort keinen Zugang bekommen sollst.
Es sei denn ich gebe bei der Aufforderung zur Passworteingabe "df75fe5f6ff3a2d33b46f14d48c6574d" das ein.
Warum ?!?weil du dann genau das eingetippt hast, was deine ".htusers" auch enthält ? Du hast schließlich festgelegt, daß
.htaccess:
AuthType Basic
AuthName "Administration"
AuthUserFile "../htdocs/.htusers"gelten soll. Bei dieser Konstruktion ist allerdings eine md5-Verschlüsselung nicht zwingend nötig. Ich verstehe nicht ganz, was daran so schwer verständlich ist.
Allerdings: ich würde das nicht mit der ".htusers" machen.Hast du denn mal in die doch ziemlich ausführliche Doku geschaut? Und hast du mal die entsprechenden Feature-Artikel (zum Beispiel <http://aktuell.de.selfhtml.org/artikel/server/htaccess/index.htm >) gelesen?
Christoph S.
-
use Mosche;
Allerdings: ich würde das nicht mit der ".htusers" machen.
Wie denn sonst?
use Tschoe qw(Matti);
--
Anyone who quotes me in their sig is an idiot. -- Rusty Russell.-
hallo,
Allerdings: ich würde das nicht mit der ".htusers" machen.
Wie denn sonst?Paßworterstellung so, wie es Klaus Mock gesagt hat
Grüße aus Berlin
Christoph S.
-
use Mosche;
Allerdings: ich würde das nicht mit der ".htusers" machen.
Wie denn sonst?
Paßworterstellung so, wie es Klaus Mock gesagt hatAber das hat doch nichts mit der Datei zu tun, in die die Passwörter geschrieben werden. Die Idee von Klaus ist es, das Tool htpasswd zu verwenden, welches auch nichts anderes macht, als in eine spezifizierte Datei (.htuser zum Beispiel) verschlüsselte oder unverschlüsselte Passwörter reinzuschreiben. Oder meinst du etwas anderes?
use Tschoe qw(Matti);
--
Anyone who quotes me in their sig is an idiot. -- Rusty Russell.-
hi ;-)
Paßworterstellung so, wie es Klaus Mock gesagt hat
Aber das hat doch nichts mit der Datei zu tun, in die die Passwörter geschrieben werden. Die Idee von Klaus ist es, das Tool htpasswd zu verwenden, welches auch nichts anderes macht, als in eine spezifizierte Datei (.htuser zum Beispiel) verschlüsselte oder unverschlüsselte Passwörter reinzuschreiben. Oder meinst du etwas anderes?Nein. Ich hab mich bloß möglicherweise zu kurz ausgedrückt. htppasswd ist schließlich genau für solche Aufgaben da, Paßwörter zu verschlüsseln und in der richtigen Datei abzulegen. Wenn man, wie der Fragesteller, noch nicht sehr sicher ist, ist es meiner Ansicht nach günstiger, auf solche Tools zurückzugreifen, statt Eintragungen "von Hand" vorzunehmen. Man braucht sich dann nicht selber um die korrekte Schreibung der verschlüsselten Paßwörter zu kümmern. Ich hätte also richtig schreiben müssen: "ich würde dazu nicht von Hand Eintragungen in der .htuser vornehmen"
Grüße aus Berlin
Christoph S.
-
-
-
-
-
Hi,
.htusers:
Admin:dt5
.htgroups:
FWV: AdminWenn ich das Passwort (dt5) mit MD5 verschlüssle kommt folgendes heraus: df75fe5f6ff3a2d33b46f14d48c6574d
Du mußt htpasswd.exe (im bin-Verzeichnis des Apache) benutzen.
Damit funktioniert es.
Das stand auch in dem Thread, auf den ich gestern einen Link gesetzt habe (das hatte schon seinen Grund, daß ich diesen Link gesetzt hatte).
Es reicht nicht, das Paßwort per PHP-Funktion md5() oder ähnlichem zu verschlüsseln.cu,
Andreas--
Der Optimist: Das Glas ist halbvoll. - Der Pessimist: Das Glas ist halbleer. - Der Ingenieur: Das Glas ist doppelt so groß wie nötig.
-
-