nicht angemeldet
Der MartinHi,
".htaccess" (gemeint ist sicher mod_auth_*) ist kein zuverlässiger Schutz
außer HTTP AUTH kommt natürlich auch noch ein brachiales Deny From All in Frage.
Der Schutz ist natürlich unter den Umständen, die du ansprichst (Anweisungen in der .htaccess werden aus irgendwelchen Gründen nicht berücksichtigt) ebenfalls futsch.
Aus diesem Grund ist es _empfehlenswert_ die Dokumente außerhalb des DocumentRoot zu platzieren.
Ja.
Dokumente in einem durch mod_auth_* geschützen Verzeichnis abzulegen ist höchstens die Ausweichlösung falls man keine bessere Möglichkeit hat.
Einen kleinen Strohhalm gibt's noch, an den man sich klammern kann: Man benennt die Dateien so, dass der Name mit ".ht" beginnt. Diese Dateien sind nämlich auch in der Defaultkonfiguration des Apachen schon ausgenommen und werden weder in einem Verzeichnislisting gezeigt (sollte es einmal dazu kommen), noch auf direkte Anfrage ausgeliefert.
Ciao,
Martin
Treffen sich zwei Holzwürmer im Käse: "Na, auch Probleme mit den Zähnen?"
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(