Verzeichnisse und Inhalte schützen
André Mantz
- webserver
Hallo zusammen,
ich habe ein paar Fragen zur Sicherheit ... die mir hier bestimmt beantwortet werden können.
Ich habe meine Webseiten bei einem Provider liegen, der mir verständlicherweise keinen Zugriff auf die Serverkonfiguration erlaubt. Nun möchte ich allerdings 2 Dinge erreichen, bei denen ich nicht weiß, wie genau ich das tun muß.
1. In verschiedenen PHP-Scripts werden per Include oder Require Bibliotheken eingebunden, in denen u.A. auch der Connect-String zum DB-Server steht. Dieser enthält natürlich auch das Passwort für den DB-Connect.
Ich würde diese Bibliotheken gerne in ein Verzeichnis legen, das per URL für niemanden erreichbar ist. Soweit ich weiß (bin da nicht sehr erfahren), kann ich ein Verzeichnis mit der .htaccess schützen. Was genau muß aber da drin stehen, damit niemand eine Datei in diesem Verzeichnis öffnen kann (außer meinen Scripts natürlich)?
2. Wie kann ich erreichen, dass Bilder und Grafiken die auf meinem Serverplatz gespeichert sind, nicht von fremden Seiten aus direkt referenziert werden? Soll heissen, wenn jemand mit einem <img ...> direkt ein Bild meiner Seite einbindet, soll lediglich ein Platzhalter angezeigt werden. Solche Links sollen nur dann das Bild zeigen, wenn sie von einer HTML-Seite innerhalb meiner Domain verlinkt werden.
Grund: ich möchte einfach den dadurch entstehenden traffic vermeiden, der mich unnötig Geld kostet.
Danke für eure Hilfe.
Gruß, André
Hallo!
Ich würde diese Bibliotheken gerne in ein Verzeichnis legen, das per URL für niemanden erreichbar ist. Soweit ich weiß (bin da nicht sehr erfahren), kann ich ein Verzeichnis mit der .htaccess schützen.
Dann hast Du die Datei aber trotzdem in einem Verzeichnis liegen, das per URL erreichbar ist (nur eben passwortgeschützt). Die sicherste Lösung wäre, die zu zu schützende Datei _wirklich_ in ein Verzeichnis zu legen, auf die der Webserver nicht zugreifen kann, das Du aber natürlich per FTP erreichen können musst. Beispiel: Das Wurzelverzeichnis Deines Webservers ist /home/www/deinweb/html/ , dann leg die zu schützende Datei in ein Verzeichnis /home/deinweb/bibliotheken/ und binde sie per include in Deine Scripte ein.
Die zweitbeste Möglichkeit ist die mit einer htaccess-Datei, da schlage ich Dir den Besuch der Seite http://www.fippu.ch/apache/schutz.php vor, da ist alles erklärt.
Hallo,
Die sicherste Lösung wäre, die zu zu schützende Datei _wirklich_ in ein Verzeichnis zu legen, auf die der Webserver nicht zugreifen kann, das Du aber natürlich per FTP erreichen können musst. Beispiel: Das Wurzelverzeichnis Deines Webservers ist /home/www/deinweb/html/ , dann leg die zu schützende Datei in ein Verzeichnis /home/deinweb/bibliotheken/ und binde sie per include in Deine Scripte ein.
Das würde ich ja gerne machen, leider gestattet mir mein Provider keinen Zugriff auf Verzeichnisse oberhalb des Document-Root.
Die zweitbeste Möglichkeit ist die mit einer htaccess-Datei, da schlage ich Dir den Besuch der Seite http://www.fippu.ch/apache/schutz.php vor, da ist alles erklärt.
Danke für den Link, das scheint mich schon ein wenig weiter zu bringen.
Bleibt noch das Problem mit dem externen Verlinken auf Bilder meiner Seite. Ich hoffe mal, dazu hat auch jemand eine Lösung anzubieten.
Gruß, André
Nochmal hallo,
Die zweitbeste Möglichkeit ist die mit einer htaccess-Datei, da schlage ich Dir den Besuch der Seite http://www.fippu.ch/apache/schutz.php vor, da ist alles erklärt.
Also, unter dem angegebenen Link befindet sich ja ein nettes und einfaches tool, welches mir die Einträe in .htaccess und .htpasswd automatisch generiert.
Funzt auch prima, bei Versuch eine Datei direkt in dem Verzeichnis abzurufen wird mir nun prompt ein Login-Fenster gezeigt.
Aaaaaber ... egal was ich auch versuche, ich kann selbst mit dem Passwort welches ich verwendet habe keinen Zugriff auf das Verzeichnis nehmen. So weit sollte der Schutz nicht gehen :)
Wer kann mir sagen, wie ich eine .htaccess und .htpasswd so erstellen kann, dass es auch richtig funktioniert?
Gruß, André
Hallo,
Wer kann mir sagen, wie ich eine .htaccess und .htpasswd so erstellen kann, dass es auch richtig funktioniert?
http://selfhtml.teamone.de/diverses/htaccess.htm
Gruss
Thomas