htaccess und Apache
Michael
- https
ich habe in einem Verzeichnis bei mir auf dem PC die Dateien .htaccess und .htpasswd, damit ich das Verzeichnis schützen kann.
Wenn ich aber mit einem Browser darauf zugreifen will, dann fragt er mich nicht nach einem Passwort.Es kommt nicht einmal das Passwortfenster. Die dateien selber htaccess und htpasswd sind aber korrekt, das weiss ich.
Wie kann ich es zum laufen bringen, damit er mir das Passwortfenster anzeigt?
Hallo Michael,
Kannst du uns bitte sagen, wo hast du deine Daten gespeichert(.htaccess & .htpasswd)???
ich habe in einem Verzeichnis bei mir auf dem PC die Dateien .htaccess und .htpasswd, damit ich das Verzeichnis schützen kann.
Sind die Pfade richtig angegeben worden????
Gruss
x-VieW
hallo
in der httpd.conf ist der Eintrag AccessFileName .htaccess nicht auskommentiert.
Sind die Pfade richtig angegeben worden????
und welche Pfade meint ihr denn, wenn die in htaccess zum htpasswd der stimmt, oder welche?
hallo
und welche Pfade meint ihr denn, wenn die in htaccess zum htpasswd der stimmt, oder welche?
dann schon gut.
fragen
------
1. was für betriebsystem hast du?
2. welche Apcache version hast du?
Gruss
x-VieW
os: suse linux 8.1
apache 1.3...
Hallo,
Sorry, Ich habe keine Ahnung von Linux, schade ;-)
Aber eins kannst du noch nach schauen:
Im Apache httpd.conf gibts der eintrag ==> AllowOverride
Der muss vor erst mal auf "ALL" gesetzt sein also ==> AllowOverride All
Ich wünsche dir viel erfolg
Gruss
x-VieW
danke für eure Hilfe
es funktioniert
da stand überall AllowOverride None
Hallo
Aufgepasst nicht über all ändern auf "ALL"
Du sollst nur im Bereich ".htaccess" ändern!!!!!!!!!
Gruss
x-VieW
hallo michael,
nächste möglichkeit: AllowOverride muss mindestens auf AuthConfig stehen; mit All bist du diesbezüglich auf der sicheren seite
wenn das auch nicht funzt, solltest du vielleicht doch einmal die .htaccess-datei hier posten ...
mfg
mamue
hallo michael,
ich habe in einem Verzeichnis bei mir auf dem PC die Dateien .htaccess und .htpasswd, damit ich das Verzeichnis schützen kann.
vorsicht: .htaccess und .htpasswd sollten nicht im selben verzeichnis liegen! aus sicherheitsgründen
sollte die .htpasswd-datei immer außerhalb des im www sichtbaren bereiches liegen; zum lokalen testen ist dies natürlich irrelevant ...
Wenn ich aber mit einem Browser darauf zugreifen will, dann fragt er mich nicht nach einem Passwort.Es kommt nicht einmal das Passwortfenster. Die dateien selber htaccess und htpasswd sind aber korrekt, das weiss ich.
hast du in der httpd.conf-datei des apache-web-servers auch die richtigen einstelungen getroffen (vor allem AccessFileName .htaccess darf nicht auskommentiert sein)?
auf welchem betriebssystem läuft dein lokaler webserver?
Wie kann ich es zum laufen bringen, damit er mir das Passwortfenster anzeigt?
mfg
mamue
Tach, mamue!
vorsicht: .htaccess und .htpasswd sollten nicht im selben
verzeichnis liegen! aus sicherheitsgründen
Die da wären? Wenn die Passwörter natürlich unchiffriert sind - okay. Aber ansonsten? Klär mich doch bitte mal auf...
Gruss
Lemmy
http://www.olison.com
tach lemmy,
genau kann ich dir das nicht erklären; ich habe aber oft gelesen und von profis gesagt bekommen, dass aus sicherheitsgründen die .htpasswd-datei außerhalb des im www-anzeigbaren bereiches liegen soll; wahrscheinlich deshalb, weil sie auf diese weise auf gar keinen fall ausgelesen werden kann und somit nicht den geringsten hinweis (vor allem auf die benutzernamen) geben kann; ich weiß schon, dass standardmäßig die anzeige von .ht* dateien nicht möglich ist, aber irgendeinen sinn wird es schon haben, dass immer wieder gesagt wird, dass die .htpasswd nicht im gleichen verzeichnis liegen soll; zumindest dann, wenn mehrere verzeichnisse geschützt werden sollen, empfiehlt es sich aus praktikabilitätsüberlegungen, die .htpasswd-datei nicht in jedes verzeichnis zu laden ...
genaueres kann ich dir leider nicht sagen ;=)
mfg
mamue
Hi Lemmy,
vorsicht: .htaccess und .htpasswd sollten nicht im selben
verzeichnis liegen! aus sicherheitsgründenDie da wären? Wenn die Passwörter natürlich
unchiffriert sind - okay. Aber ansonsten?
Klär mich doch bitte mal auf...
crypt() hat einen Schlüsselraum von gerade mal 8
Byte - wenn jemand eine solche Passwort-Datei
(wobei ja in jedem Passwort das 'salt' drin steht)
lesen kann, dann ist die in ein paar Tagen durch-
gerechnet, je nach Leistungssfähigkeit der ver-
fügbaren Hardware. So etwas geht offline um
Größenordnungen schneller als durch HTTP-Zugriffe
(welche dem Betreiber zudem auffallen würden).
Das Probierprogramm könnte insbesondere mit der
Dummheit der Anwender rechnen und erst mal nur
einen kleinen Teil des Schlüsselraums anwenden -
beispielsweise eine Liste weiblicher Vornamen. ;-)
(http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/)
Allerdings kann man den Zugriff auf bestimmte
Dateien, insbesondere die hier betrachteten, noch
gesondert schützen, unabhängig von deren Inhalt:
Die Apache-Standardkonfiguration enthält ein
automatisches "deny" auf alles, was nach ".ht*"
aussieht - und das hat gute Gründe, wie der vor-
liegende Thread zeigt ...
Viele Grüße
Michael