nicht angemeldet
Frage zu .htaccess
Hallo,
Bei Selfhtml steht der folgende Satz, den ich nicht ganz verstehe ?
Im Interesse der Sicherheit ist es auch besser, die Datei mit den Benutzern und Passwörtern außerhalb des Web-Projekts auf dem Server abzulegen. Aber nicht bei allen Hosting-Angeboten können Sie auf den Server-Rechner außerhalb des eigenen Web-Projekts zugreifen.
Was is damit gemeint ? Heisst das, daß ich die Datei .htpasswd nicht in dem geschützten Bereich ablegen soll, sondern irgendwo auf meinem Webspace ausserhalb davon ? wenn ja, warum soll das im Interresse der Sicherheit sein, wenn die Passwortdatei "offen" auf meinem Webspace liegt ?
-
Hi,
Im Interesse der Sicherheit ist es auch besser, die
Datei mit den Benutzern und Passwörtern außerhalb
des Web-Projekts auf dem Server abzulegen.Denn außerhalb des URL-Raums ist diese Datei nicht nur praktisch, sondern auch theoretisch unsichtbar gegenüber Zugriffen via HTTP.
Aber nicht bei allen Hosting-Angeboten können Sie
auf den Server-Rechner außerhalb des eigenen Web-
Projekts zugreifen.Sollte man eigentlich meinen, daß dies nicht der Fall sei. Mein access_log möchte ich ja auch nicht via HTTP zugänglich machen (einerseits stehen da gelogte IP-Adressen drin, andererseits ist es zu groß dafür ;-).
Heisst das, daß ich die Datei .htpasswd nicht in
dem geschützten Bereich ablegen soll,Ganze bestimmt dort am allerwenigsten! Das ist der Bereich, in dem jemand, der nach geheimen Informationen sucht, zuerst nachsieht - denn Du hast ihm ja durch den Schutz gezeigt "hier ist etwas verborgen". Nun laß den Webserver durch einen Fingerfehler ("AllowOverride None" oder was auch immer) Deinen Schutz abschalten ...
wenn ja, warum soll das im Interresse der Sicherheit
sein, wenn die Passwortdatei "offen" auf meinem
Webspace liegt ?Nicht 'in' Deinem Webspace - sondern 'daneben'!
Viele Grüße
Michael-
Hallo,
dank euch erst mal für die Hilfe, also es sieht jetzt bei mir so aus :
Ich hoffe das stimmt jetzt so ?:
Ich habe ein Forum www.meinserver.com/forum/forum.cgi hier ist die Datei .htaccess, im Ornder forum. Somit schützt sie die Datei forum.cgi + alle Ordner im Ornder forum. Natürlich ist .htaccess nicht sichbar bei FTP ZugangDie Datei .htpasswd befindet sich in www.meinserver.com, also 'ganz oben' auch nicht sichtbar für FTP Zugang.
-
Moin
Die Datei .htpasswd befindet sich in www.meinserver.com, also 'ganz oben' auch nicht sichtbar für FTP Zugang.
Also da, wo z.B. auch Deine index.htm(l) liegt? Daß die Datei per ftp nicht nicht sichtbar ist, liegt wahrscheinlich an der Einstellung deines ftp-Clients. Wenn der Webserver schlecht administriert ist kannst Du die Datei per http://www.meinserver.com/.htpasswd sogar im Browser anzeigen (versuch's mal, wenns geht, solltest Du den Provider wechseln ;-)
Michael meint folgendes:
Die Verzeichnisse unter public sind per http erreichbar und damit 'unsicher'. Legst Du die Datei im Verzeichnisbaum des Servers außerhalb der per http erreichbaren Verzeichnisse, ist die Datei 'sicherer' aufgehoben. Ob Dir Dein Provider allerdings gestattet außerhalb Deines Homeverzeichnisses Dateien abzulegen muß Du mit ihm klären (oder probieren). Ich kenne Provider, die extra für diesen Fall ein solches privates Verzeichnis angelegt haben./
+---public
| |
| +-www.meinserver.com
| | +-forum
| | +-bilder
| |
| +-www.deinserver.com
| | +-html
| | +-images
| |
| +-www.unserserver.com
| +-board
| +-download
|
+---privat
| +-www.meinserver.com
| +-www.deinserver.com
| +-www.unserserver.com
|
+---bin
.
.
.Gruß Frank
-
-
-
hi,
Bei Selfhtml steht der folgende Satz
da wärs ganz gut, wenn du genauer angeben würdest, "wo" dieser Satz steht
Im Interesse der Sicherheit ist es auch besser, die Datei mit den Benutzern und Passwörtern außerhalb des Web-Projekts auf dem Server abzulegen. Aber nicht bei allen Hosting-Angeboten können Sie auf den Server-Rechner außerhalb des eigenen Web-Projekts zugreifen.
Was is damit gemeint ? Heisst das, daß ich die Datei .htpasswd nicht in dem geschützten Bereich ablegen sollKommt darauf an, wo dieser "geschützte Bereich" liegt. Gemeint ist grundsätzlich so etwas:
Der Server hat ein Verzeichnis /www/users/deinName, auf das du via http und ftp (und vielleicht sogar telnet) Zugriff hast und weitere Unterverzeichnisse anlegen kannst, das heißt, dort liegt also physikalisch _und_ logisch dein Web-Projekt. Dann ist es durchaus sinnvoll, auf dem Server ein Verzeichnis www/passwords/deinName anzulegen (braucht nichtmal ein Verzeichnis zu sein, eine Datei mit diesem Namen reicht), das physikalisch nix mit deinem Web-Projekt zu tun hat (sogar auf einer andren Platte liegen kann), dort die entsprechenden Daten zu speichern und den logischen Bezug zu deinem Web-Projekt über die httpd.conf herzustellen. Du kannst trotzdem innerhalb deines Web-Projekts .htaccess-Dateien ganz nach Belieben ablegensondern irgendwo auf meinem Webspace ausserhalb davon ?
eben nicht "auf deinem Webspace", sondern "außerhalb".
wenn ja, warum soll das im Interresse der Sicherheit sein, wenn die Passwortdatei "offen" auf meinem Webspace liegt ?
Und wenn nein ?
Die sicherheitsrelevanten Daten (das muß sich ja nicht auf ein Paßwort beschränken) sollen eben gerade nicht "offen" herumliegen. Und es gibt durchaus Webspace-Anbieter, die so verfahren, wie ich es umrissen habe.Im übrigen: es wäre einem Server-Betreiber nicht anzuraten, Benutzerrechte für physikalische Zugriffe nach _außerhalb_ zu vergeben. Was hat ein beliebiger WWW-Besucher im /etc-Verzeichnis des Servers zu suchen, oder in /bin oder in /local oder gar in dem Verzeichnis, in dem die httpd.conf des Servers liegt ? Doch gar nix. Es gibt allerdings auch hier Anbieter, die mindestens lesenden Zugriff ermöglichen, was ich für extrem sorglos halte.
Grüße aus Berlin
Christoph S.
-
Bei Selfhtml steht der folgende Satz
da wärs ganz gut, wenn du genauer angeben würdest, "wo" dieser Satz steht
-