Sven Rautenberg: Master-ID über .htaccess sperren

Beitrag lesen

SELF-Forum

Master-ID über .htaccess sperren

Sven Rautenberg Homepage des Autors
+1 Informationen zu den Bewertungsregeln

Moin!

Es geht darum, den Zugriff einer Master-ID (Master-Domain) zu sperren bzw. zu verhindern.

Können wir bitte zuerst mal aufhören, hier von "Master-ID" zu sprechen. Das verwirrt nämlich nur und ist sachlich unzutreffend. Es handelt sich hier um eine technisch bedingte Domain deines Hosters.

Diese Master-ID zeigt meißt, wie auch in meinem Fall, auf das Stammverzeichnis des Webspaces (was ich generell als Sicherheitslücke betrachte). Der Webhoster bietet hierfür auch keinerlei Hilfe oder Einstellungen im Webinterface an.

Man würde sich im Prinzip ein geheimhaltbares Verzeichnis wünschen. Sind deine restlichen Domains in Unterverzeichnissen?

Natürlich habe ich's sowohl vorher als auch hinterher nochmal mit Einträgen wie...

order deny,allow

deny from .12345.strato-hosting.eu

  
Funktioniert nicht. Deine Besucher kommen aus der ganzen Welt, aber nicht von dieser Domain. Der Parameter von "Deny from" bedeutet: Wenn jemand, dessen Client-IP oder -Domain dem hier (teilweise) entspricht, dann sperren. Es bedeutet explizit nicht: "Wenn jemand auf diese Domain hier auf dem Server zugreifen will."  
  

> "Dies können Sie mittels eines Redirectes in der .htaccess bewerkstelligen.  
> Das sieht dann etwa so aus:  
> Redirect permanent [Master-ID] [Pfad zu einer Fehlerseite]  
> Bedauerlicherweise können Sie hier nicht angeben, dass die Umleitung direkt auf  
> einen Error 403 verweist."  
  
Auch das ist falsch. Redirect kann auch einen Fehlercode mitgeben, auch einen 404-Fehler. Dummerweise kann man im Redirect keine Domain angeben. Es ist also doppelt falsch.  
  

> Also nochmal das Ganze...  
> Folgende Anweisung in der .htaccess scheint zu funktionieren (auch wenn eine Weiterleitung nach Google nur temporär ist):  
>   
> `RedirectPermanent 12345.strato-hosting.eu http://www.google.com`{:.language-apache}  
  
Die simple Version könnte sein:  
  
Im Hauptverzeichnis eine .htaccess mit:  
  
Order Allow,Deny  
  
In allen Unterverzeichnissen deiner Sites:  
  
Order Deny,Allow  
  
Mehr ist nicht notwendig, und die Unterverzeichnisse überschreiben die im höheren Verzeichnis gemachten Einstellungen. Danach solltest du auf deiner technischen Domain überall Status 403 bekommen.  
  
  
 - Sven Rautenberg
Beitrag melden
+1
Informationen zu den Bewertungsregeln