nicht angemeldet
Alternativer Schutz zu .htaccess?
Hallo,
ich hatte vor einige Verzeichnisse auf meiner Site per Passwort zuschützen. Es scheint so als unterstützt mein Provider die .htaccess Fubktionen dazu nicht. Welche Möglichkeiten gibt es diesbezüglich noch?
Vielen Dank!
surreal
-
Hallo,
ich hatte vor einige Verzeichnisse auf meiner Site per Passwort zuschützen. Es scheint so als unterstützt mein Provider die .htaccess Fubktionen dazu nicht. Welche Möglichkeiten gibt es diesbezüglich noch?
PHP faellt ja wohl auch ins Wasser...
Da gibt es noch das Konzept der "geheimen URL".
Darauf basiert auch der JavaScript-"Passwortschutz"
von Dr. Web:
http://www.ideenreich.com/trickkiste/tricks46.shtml
(Es geht allerdings auch voellig ohne JavaScript - man
kann die "geheime URL" schliesslich auch weitersagen
oder -mailen.)Du darfst im "geschuetzten Bereich" keine Links
nach draussen haben, weil sonst die "geheime URL"
im Logfile der Zielseite als Referrer auftaucht.
Und Du darfst keine Links auf eine "geheime Seite"
irgendwo veroeffentlichen. Und Du kannst nur beten,
dass auch sonst niemand eine solche URL weitergibt
oder in einem oeffentlichen Forum postet u.s.w.Dieses Konzept ist also ein sehr schwacher Schutz
und ueberhaupt nicht "sicher".
Aber besser als nichts, solange es nicht um
sensible Daten geht.Gruesse,
Thomas
-
Ich habe PHP in Version 4.3.3 mit jedem tolen Mist aber ich habe im Netz gelesen Kontent.de unterstützt die Sache mit .htaccess nicht!
-
Hallo,
Ich habe PHP in Version 4.3.3 mit jedem tolen Mist aber ich habe im Netz gelesen Kontent.de unterstützt die Sache mit .htaccess nicht!
_Wo_ "im Netz" hast Du dies gelesen?
Warum probierst Du es nicht einfach aus?
Und warum fragst Du nicht einfach Deinen Provider?Welcher Webserver ist im Einsatz?
Grundsaetzlich koenntest Du die Dateien in ein
Verzeichnis ausserhalb des "Document Root" legen
(oder halt in ein Verzeichnis, das mit .htaccess
voellig gesperrt, also "verboten" ist).
Dann koenntest Du mit Sessions oder so arbeiten
und alle Inhalte durch PHP-Skripte "durchschleusen",
sofern sich der Benutzer vorher mit Passwort
eingeloggt hat, ansonsten eine "Verboten" Meldung
ausgeben und zur Login-Seite verweisen.Voraussetzung waere allerdings, dass Du ueberhaupt
ausserhalb des "Document Root" Daten ablegen kannst.
D.h. bei FTP-Zugriff ausserhalb von public_html
oder wie das Hauptverzeichnis bei Dir heisst.Gruesse,
Thomas
-
hi!
falls .htaccess wirklich nicht geht, dann probier doch mal: http://de3.php.net/features.http-auth
ciao, tommy
-
Hallo,
Voraussetzung waere allerdings, dass Du ueberhaupt
ausserhalb des "Document Root" Daten ablegen kannst.
D.h. bei FTP-Zugriff ausserhalb von public_html
oder wie das Hauptverzeichnis bei Dir heisst.Besser wäre das schon, eine Voraussetzung ist es aber nicht.
An die geschützen Daten könnte man höchsten herankommen, wenn der Server zwar noch Dokumente ausliefert, PHP aber aus irgendeinem Grund nicht mehr geparst wird.Gruß, Jan
-
Hallo,
Besser wäre das schon, eine Voraussetzung ist es aber nicht.
An die geschützen Daten könnte man höchsten herankommen, wenn der Server zwar noch Dokumente ausliefert, PHP aber aus irgendeinem Grund nicht mehr geparst wird.Das dürfte nicht passieren, da ja PHP für das "durchschleusen" der Dateien verantwortlich ist, werden sie auch nicht weitergegeben, wenn PHP nicht geparst wird.
Gruß,
Henning--
Gruß aus Braunschweig
SELF-Code: sh:( fo:| ch:{ rl:( br:> n4:( ie:( mo:) va:) de:] zu:} fl:( ss:| ls:<
http://emmanuel.dammerer.at/selfcode.html
http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A(+fo%3A|+ch%3A{+rl%3A(+br%3A>+n4%3A(+ie%3A(+mo%3A)+va%3A)+de%3A]+zu%3A}+fl%3A(+ss%3A|+ls%3A<+js%3A|-
Hallo,
Man könnte allerdings, wie Thomas sagte, den Verzeichnisnamen aus dem PHP-Quelltext, der dann ja sichtbar wäre, herausfischen und so Zugriff erlangen.
Gruß, Jan
-
Hallo,
Hallo,
Man könnte allerdings, wie Thomas sagte, den Verzeichnisnamen aus dem PHP-Quelltext, der dann ja sichtbar wäre, herausfischen und so Zugriff erlangen.
Deshalb sollen die Dateien, wie Thomas auch erwähnt hat, außerhalb des Document Root liegen.
Gruß,
Henning--
Gruß aus Braunschweig
SELF-Code: sh:( fo:| ch:{ rl:( br:> n4:( ie:( mo:) va:) de:] zu:} fl:( ss:| ls:<
http://emmanuel.dammerer.at/selfcode.html
http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A(+fo%3A|+ch%3A{+rl%3A(+br%3A>+n4%3A(+ie%3A(+mo%3A)+va%3A)+de%3A]+zu%3A}+fl%3A(+ss%3A|+ls%3A<+js%3A|
-
-
Hallo Henning,
»» An die geschützen Daten könnte man höchsten herankommen, wenn der Server zwar noch Dokumente ausliefert, PHP aber aus irgendeinem Grund nicht mehr geparst wird.
Das dürfte nicht passieren, da ja PHP für das "durchschleusen" der Dateien verantwortlich ist, werden sie auch nicht weitergegeben, wenn PHP nicht geparst wird.doch, werden sie unter umständen. hab ich selber schon erlebt. welche umstände genau das sind, kann ich allerdings auch nicht sagen.
freundl. Grüße aus Berlin, Raik
-
-
Hallo,
[...] ausserhalb des "Document Root" Daten ablegen
Besser wäre das schon, eine Voraussetzung ist es aber nicht.
An die geschützen Daten könnte man höchsten herankommen, wenn der Server zwar noch Dokumente ausliefert, PHP aber aus irgendeinem Grund nicht mehr geparst wird.Klar, wenn man die eigentlichen Dateien in ein
Verzeichnis mit einem zufaelligen Namen steckt,
z.B. "/p9aci7z/" (aber dieses Verzeichnis nicht
weiter schuetzt) und dann gegen aussen nur die
URL des "Durchschleuser-PHP-Skripts" verwendet,
dann sind die richtigen Dateien genau solange
geschuetzt, bis
a) PHP ausfaellt und ein neugieriger Benutzer
aufgrund des PHP-Quelltexts das Verzeichnis
herausfindet und die Dateien direkt abruft
b) ein Benutzer per Zufall das Verzeichnis
herauskriegt
(OK, das ist sehr unwahrscheinlich - er muss
ja zuerst mal auf die Idee kommen. Aber mit
"brute force" Ausprobieren waere es natuerlich
schon moeglich.)Wenn die Dateien aber ausserhalb des Document Root
liegen (und man keine kaputten PHP-Skripte hat, die einen
vollstaendigen Pfad ungeprueft uebernehmen und damit
aufs Dateisystem zugreifen), dann sind die Dateien
deutlich besser geschuetzt, weil der Webserver sie gar
nie ausliefern wird.Gruesse,
Thomas
-
Hallo,
Das meinte ich nicht. Wenn es sich nur um PHP-Dateien handelt, müsste man natürlich in allen diesen Dateien selbst am Anfang prüfen, ob eine entsprechende Berechtigung vorliegt (z.B. dadurch, ob eine Session-Variable, die nach erfolgreichem Login gesetzt wurde, existiert). Dann kann man den Verzeichnisnamen ruhig kennen, die Seiten lassen sich trotzdem ohne Login nicht aufrufen.
Wenn es sich natürlich um PDFs oder sowas handelt, die geschützt werden sollen, funktioniert das nicht (bzw. nur mit den Nachteilen, die du oben genannt hast.)
Gruß, Jan
-
-
-
-
-
-
Hi,
ich hatte vor einige Verzeichnisse auf meiner Site per Passwort zuschützen. Es scheint so als unterstützt mein Provider die .htaccess Fubktionen dazu nicht. Welche Möglichkeiten gibt es diesbezüglich noch?
Außer dem von Thomas bereits gesagtem gibt es natürlich auch noch die Möglichkeit, den Provider zu wechseln...
cu,
Andreas--
MudGuard? Siehe http://www.mud-guard.de/