Hallo Jutta,

damit im virtuellen Team Dokumente allen TeilnehmerInnen zügig zur
Verfügung stehen, ist "Verzeichnis Browsing" eine praktische Sache.

yep.

Auf dem neuen Server wird "AllowOverride Options" nicht mehr frei
gegeben.
Frage: ist das eine berechtigte Maßnahme zur leider immer mehr
notwendig werdenden Sicherheit?

'Jein' (siehe unten).

Ein Server muß natürlich robuster konfiguriert sein, wenn man den
Kunden erlaubt, darauf herumzuturnen (ich darf nicht nur eigene CGI-
Skripte laufen lassen, sondern per SSH-Dialog-Zugang auch beliebige
Programme lokal installieren und laufen lassen, und über cron-Jobs
auch einiges automatisieren - in einem Webspace für 5 Euro/Monat
muß so etwas auch drin sein, finde ich), als wenn die Kunden nur
statische HTML-Seiten hochladen dürfen.

Und genau an dieser Stelle öffnet "Options" nun mal einige Türen auf
einem schlampig installierten Server.
(Den, auf dem meine eigene Domain liegt, habe ich mir auf shell-Ebene
gründlich angesehen und nichts gefunden, was mir selbst gefährlich
erschien - insbesondere konnte ich weder auf Daten noch auf Konfigura-
tionen anderer Kunden zugreifen, obwohl ich beispielsweise die Apache-
Konfiguration sehr wohl gefunden habe und die ungefährlichen Teile
davon auch lesen durfte - die kundenspezifischen nicht.)

Was kann denn damit böses angestellt werden?

Das kommt darauf an,
a) was der Provider Dir ansonsten alles erlaubt,
b) wieviel Ahnung er von seiner Materie hat und
c) wie knapp er die Last auf seinem Server dimensioniert hat.

Wie Du an
   http://aktuell.de.selfhtml.org/artikel/server/htaccess-faq/#a6
sehen kannst, ist "AllowOverride Options" leider die eierlegende
Wollmilchsau. Damit kann man insbesondere CGI, SSI und Multiviews
einschalten und in beliebiger Form selbst konfigurieren.
Wenn Dein Webspace-Paket auch nur _irgendwas_ aus dieser Menge nicht
enthält, dann muß der Provider Dir diese Direktive entziehen, weil
Du es Dir sonst gegen seinen Willen "genehmigen" könntest.

Und genau diese ganzen Server-Parsing- und Negotiation-Dienste brin-
gen nun mal Last auf den Server, vor allem wenn man sie rücksichtslos
konfiguriert (beispielsweise *.htm auf den SSI-Handler mapped usw.).
Falls der Provider also so viele Kunden auf derselben Maschine hat,
daß einer von diesen mit Verzehnfachung seiner Last plötzlich allen
anderen weh tun könnte, wäre es verständlich, daß er sich gegen
Streuungen dieser Art verteidigen möchte.

Andererseits könnte (und sollte!) er Dir dann aber für Deine Domain
(oder besser gleich allen seinen Kunden) "AllowOverride Indexes"
eintragen. Das würde für FancyIndexing allemal ausreichen, wie Du in
    http://httpd.apache.org/docs/mod/mod_autoindex.html
sehen kannst ("Override" sagt jeweils, welche Berechtigung erforder-
lich ist, um diese Direktive in einer .htaccess-Datei zu verwenden).

Bei meinem Provider waren es die MultiViews, die nicht freigeschaltet
waren; das hat er aber nach einer entsprechenden E-Mail (wo ich ihm
diktiert hatte, welche Zeile er eintragen sollte) nachgeholt.

Ähnlich war es mit dem eigenen error_log für meine Domain ... das
habe ich auch erst auf Nachfrage bekommen. Wenn man selbst .htaccess
einsetzt, ist ein error_log m. E. aber dringend notwendig, weil dort
die Meldungen bei eigenen Konfigurationsfehlern landen ...

Mir kam das Argument mit dem dedizierten Server - auf dem ich das
ja könne - zu schnell, als dass ich nicht vermuten müsste, man will
mir auf diese Art einfach eine teurere Leistung andrehen.

Neulich hatte ich ein Problem, daß meine CGI-Skripte keine per
"SetEnv" gesetzten Environment-Variablen sehen können, obwohl diese
Direktive nicht gesperrt ist - daraufhin hat er mich ebenfalls mit
dem "dann mach Dir doch einen eigenen Server"-Sermon abgespeist. (Das
hängt wohl auch darauf ab, an welchen Support-Typ man gerade gerät.)

Es ist schon verständlich, daß er für die paar Mark fuffzich pro
Domain nicht jeden Virtual Host individuell konfigurieren möchte

• das ist einfach nicht bezahlbar.
  Andererseits sollte er dann logischerweise wirklich in .htaccess
  aufmachen, was nur möglich ist, um sich alleine Supportfragen wie
  die Deine vom Hals zu schaffen ... und wenn Du bereits CGI und SSI
  darfst, dann kannst Du mit AllowOverride All auch nichts mehr an-
  richten, was wirklich schlimm wäre. (Ein CGI-Skript mit einer Endlos-
  Ausgabeschleife ist nämlich auch schon ziemlich lästig für den Server.)

Die Frage ist halt auch, ob Du Dir einen eigenen Server antun möchtest.
Das bedeutet nämlich ggf. auch, daß Du selbst dafür zuständig bist,
ob der Server läuft, ob die aktuellste Version der Software mit den
entsprechenden bug fixes installiert ist, welche Services auf der
Maschine laufen (und Last schlucken und Angriffspunkte bieten) und
was noch alles.

Ich selbst verstehe von Netzwerken nicht genug, um mir das zuzumuten.
Ein eigener Server ist mehr Verantwortung als nur an der Apache-
Konfiguration zu schrauben (den zu installieren und zu konfigurieren
würde ich hinkriegen). Insofern lebe ich damit, daß mein Provider
mir auch nicht alles erlaubt ... jedenfalls solange, bis ich an eine
Stelle komme, wo es mich wirklich funktionell einschränkt.
(gzip_cnc ist genau aus einer solchen Einschränkung entstanden ...
ich kann ja wohl schlecht eine Site über die Vorzüge der komprimierten
Auslieferung von Webseiten ins Netz stellen und _diese_ Seiten dann
selbst _nicht_ komprimiert ausliefern ...)

Viele Grüße
      Michael