Kalle_B: Probleme mit .htpasswd

Hallöle,

möchte ein Web- Verzeichnis mit User "Mustermann" und Passwort "Mustermann" schützen. Habe mir das Passwort zunächst mit PHP generiert.

echo md5( "Mustermann" );
8dc75c3235309c24c220f9569ffcbea0

Die Dateien sehen so aus:

/test/db/.htaccess
------------------
AuthUserFile /test/db/.htpasswd
AuthGroupFile /dev/null
AuthName "Geschützer Bereich "
AuthType Basic
<Limit GET POST PUT>
require valid-user
deny from all
Satisfy Any
</Limit>

/test/db/.htpasswd
------------------
Mustermann:8dc75c3235309c24c220f9569ffcbea0

Der Schutz ist aber so gut, dass ich ihn nicht überwinden kann, User und Passwort werden also nicht "erkannt".

Habe dann im Web nach .htpasswd gesucht und diverse Generatoren gefunden, die bei User "Mustermann" und Passwort "Mustermann" folgendes vorschlagen:

http://www.htaccesstools.com/htpasswd-generator/
jedesmal was anderes:
Mustermann:$apr1$kzpjx/..$P/ANYnr47a6fna4i8VuLZ/
Mustermann:$apr1$9jkPy/..$QdilfX.w3bOQKvOwZTK6k/
Mustermann:$apr1$gOGTy/..$efdYtOfY1ZpAq91.qZhs40

http://www.smartwebdesign.ch/services/passwd.php
Mustermann:8CIbRyF3Gydow
Mustermann:jxSKkHXq0ot/o
Mustermann:mJxBZ92ML5mIg

Irgendwie stehe ich auf dem Schlauch. Kann die Umwandlung eines Passwortes für die .htpasswd wirklich so beliebig sein?

LG Kalle

  1. Hi,

    Irgendwie stehe ich auf dem Schlauch. Kann die Umwandlung eines Passwortes für die .htpasswd wirklich so beliebig sein?

    Natürlich wird gesalzen, um den Hash weniger eindeutig zu machen, so dass das Nachschlagen in Rainbow-Tables nicht so einfach möglich ist.

    Das ist aber nicht entscheidend, wohl aber die Frage nach der Wahl der Hash-Funktion - CRYPT oder MD5 sind an dieser Stelle am verbreitetsten, und wenn es mit MD5 nicht "funzt", dann würde ich es mal mit der CRYPT-Variante probieren.

    MfG ChrisB

    --
    Light travels faster than sound - that's why most people appear bright until you hear them speak.
  2. Hi,

    möchte ein Web- Verzeichnis mit User "Mustermann" und Passwort "Mustermann" schützen. Habe mir das Passwort zunächst mit PHP generiert.

    Das kann nichts werden, da Apache eine abgewandelte Variante von md5 benutzt.

    Der Schutz ist aber so gut, dass ich ihn nicht überwinden kann, User und Passwort werden also nicht "erkannt".

    Klar, weil Apache den mit dem normalen MD5 erzeugten Hash mit dem speziellen Hash vergleicht, und die passen natürlich nicht zusammen.

    Habe dann im Web nach .htpasswd gesucht und diverse Generatoren gefunden,

    normalerweise liegt das passende Programm im bin-Verzeichnis der Apache-Installation und hört auf den Namen htpasswd(.exe)

    die bei User "Mustermann" und Passwort "Mustermann" folgendes vorschlagen:
    http://www.htaccesstools.com/htpasswd-generator/
    jedesmal was anderes:
    Mustermann:$apr1$kzpjx/..$P/ANYnr47a6fna4i8VuLZ/
    Mustermann:$apr1$9jkPy/..$QdilfX.w3bOQKvOwZTK6k/
    Mustermann:$apr1$gOGTy/..$efdYtOfY1ZpAq91.qZhs40

    ein zufälliges Salt zusammen mit der Apache-MD5-Variante.

    http://www.smartwebdesign.ch/services/passwd.php
    Mustermann:8CIbRyF3Gydow
    Mustermann:jxSKkHXq0ot/o
    Mustermann:mJxBZ92ML5mIg

    ein zufälliges Salt zusammen mit crypt.

    cu,
    Andreas

    --
    Warum nennt sich Andreas hier MudGuard?
    O o ostern ...
    Fachfragen per Mail sind frech, werden ignoriert. Das Forum existiert.
    1. normalerweise liegt das passende Programm im bin-Verzeichnis der Apache-Installation und hört auf den Namen htpasswd(.exe)

      Gut, habe das auf Server A gemacht: Mustermann:hzxqeP/nmaWRU

      Server B (bei 1und1) zeigt im FTP- Programm als obersten Pfad /<root>, aber darunter sind keine Apache- Dateien, nur die Internet-Dateien.

      Nun vermute ich, dass die Angabe
      AuthUserFile /test/db/.htpasswd
      in der .htaccess

      nicht die Passwort- Datei findet.

      Kann man bei 1und1 also keinen Ordner schützen?

      LG Kalle

      1. Kann man bei 1und1 also keinen Ordner schützen?

        Sorry, Frage falsch gestellt. Geschützt ist er ja so gut, dass ich nicht drankomme. Neue Frage:

        Hat man bei 1und1 per User:Passwort eine Chance, einen geschützten Ordner zu öffnen?

        Wie muss der Eintrag in der .htaccess lauten, wenn der Ordner
        /test/db

        heisst und die .htpasswd hier liegt?

        Per FTP ist / das Stammverzeichnis, aus der Sicht von Apache kann es das aber nicht sein.

        Kalle

        1. Hi,

          Kann man bei 1und1 also keinen Ordner schützen?

          Doch.

          Wie muss der Eintrag in der .htaccess lauten, wenn der Ordner
          /test/db

          Ich bezweifle, daß das der Ordnerpfad ist. Das ist vielleicht der Ordnerpfad ab Deinem Document Root. Du mußt aber den Pfad ab dem Filesystem Root angeben.
          Hat hotti Dir doch schon geschrieben.

          Per FTP ist / das Stammverzeichnis, aus der Sicht von Apache kann es das aber nicht sein.

          Der FTP-Server und seine Konfiguration ist für den http-Server Apache vollkommen irrelevant.

          cu,
          Andreas

          --
          Warum nennt sich Andreas hier MudGuard?
          O o ostern ...
          Fachfragen per Mail sind frech, werden ignoriert. Das Forum existiert.
          1. /test/db

            Ich bezweifle, daß das der Ordnerpfad ist. Das ist vielleicht der Ordnerpfad ab Deinem Document Root. Du mußt aber den Pfad ab dem Filesystem Root angeben.
            Hat hotti Dir doch schon geschrieben.

            Ja, deshalb komme ich ja drauf.

            Der FTP-Server und seine Konfiguration ist für den http-Server Apache vollkommen irrelevant.

            Wie also bestimme ich den absoluten Pfadnamen? Gibt es für 1und1 Erfahrungswerte?

            Was kommt vor (FTP) /<root>) ?

            Kalle

            1. Hi,

              Wie also bestimme ich den absoluten Pfadnamen? Gibt es für 1und1 Erfahrungswerte?

              Erfahrungswerte? Bei 1und1 gibt es ein ControlCenter:

              Den absoluten Pfad Ihrer Präsenz finden Sie im >> 1&1 Control-Center.

              Wählen Sie, nachdem Sie den entsprechenden Vertrag ausgewählt haben, Domains
               =>entsprechende Domain auswählen
               =>Info

              cu,
              Andreas

              --
              Warum nennt sich Andreas hier MudGuard?
              O o ostern ...
              Fachfragen per Mail sind frech, werden ignoriert. Das Forum existiert.
              1. Hallo MudGuard und Kalle,

                Wie also bestimme ich den absoluten Pfadnamen? Gibt es für 1und1 Erfahrungswerte?

                Also, mein "Erfahrungswert" für DOCUMENT_ROOT sieht so aus:
                /kunden/homepages/**/********/htdocs/

                Am Einfachsten für dich herauszufinden, wie der Pfad in der .htaccess-Datei lauten muss, ist wahrscheinlich eine PHP-Datei anlegen, mit diesem Inhalt:

                <?php  
                echo $_SERVER['SCRIPT_FILENAME']; // absoluter Pfadname der Datei inkl. DOCUMENT_ROOT  
                ?>
                

                Diese legst du in das Verzeichnis, in dem auch deine .htpasswd-Datei liegen soll.
                Der Aufruf der Datei gibt dir dann ein Verzeichnis aus. Da ersetzt du einfach den Namen der PHP-Datei durch .htpasswd .
                Dann hast du den absoluten Pfad zur Passwort-Datei und musst diesen nur noch in die .htacces-Datei einfügen.

                Übrigens lassen sich Verzeichnisse bei 1und1 viel einfacher schützen:
                Control-Center
                -> So geht's direkt (links der scrollbare Kasten)
                -> Verzeichnis schützen

                Den absoluten Pfad Ihrer Präsenz finden Sie im >> 1&1 Control-Center.
                Wählen Sie, nachdem Sie den entsprechenden Vertrag ausgewählt haben, Domains
                =>entsprechende Domain auswählen
                =>Info

                Kann ich nicht bestätigen. der dort beschriebene Wert entspricht nicht dem Document Root.
                Bei mir steht da z.B.:
                Hauptverzeichnis: /homepages/**/********
                Fehlt also /kunden und /htdocs bei der Angabe.

                Gruß,
                Dodwin

                --
                Dodwin
                1. Hallo Dodwin,

                  danke dir,

                  <?php

                  echo $_SERVER['SCRIPT_FILENAME']; // absoluter Pfadname der Datei inkl. DOCUMENT_ROOT
                  ?>

                    
                  ist der richtige Tipp, es klappt.  
                    
                  Kalle
                  
        2. hi,

          Hat man bei 1und1 per User:Passwort eine Chance, einen geschützten Ordner zu öffnen?

          Natürlich, siehe Hilfe-Center.
          Dort findest du auch einen passenden Link zu einem Passwort-Generator.

          mfg

  3. hi,

    möchte ein Web- Verzeichnis mit User "Mustermann" und Passwort "Mustermann" schützen. Habe mir das Passwort zunächst mit PHP generiert.

    echo md5( "Mustermann" );
    8dc75c3235309c24c220f9569ffcbea0

    Nimm am Besten das Programm, was dazu mit dem Apache mitgeliefert wird: htpasswd bzw. htpasswd.exe (Windofs).

    Und in der .htaccess muss die Pfadangabe absolut sein, fall das unter Windows ohne LW-Angabe funktionieren soll, muss die Passwortdatei auf demselben LW liegen wie die Programmdatei des Apache.

    Hotte

    --
    Indianer!!!!!! Alle sind tot!