Gast: Wie schützt man ein Verzeichnis?

Hei hoh,

ich kenne das so, indem ich eine .htaccess und eine .htpasswd hochlade.

Das hat nun aber zur Folge, dass nicht etwa das Passwort abgefragt wird, sondern die Meldung kommt:
"Fehler: Datei nicht gefunden"

Nun liegt dieses Verzeichnis auf einem Server, den ich nicht näher kenne. Mein FTP-Basisordner ist /example.com und so steht es auch in der .htaccess

AuthUserFile /example.com/musik/liedtexte/.htpasswd  
AuthGroupFile /dev/null  
AuthName "Geschützer Bereich "  
AuthType Basic  
<Limit GET POST PUT>  
require valid-user  
deny from all  
Satisfy Any  
</Limit>

Auch das Löschen des / vor example.com führt nicht zum Ziel.

Was könnte falsch sein?

Gruß, Gast

  1. hi,

    Hei hoh,

    AuthUserFile /example.com/musik/liedtexte/.htpasswd

    AuthGroupFile /dev/null
    AuthName "Geschützer Bereich "
    AuthType Basic
    <Limit GET POST PUT>
    require valid-user
    deny from all
    Satisfy Any
    </Limit>

    
    >   
    > Auch das Löschen des / vor example.com führt nicht zum Ziel.  
    >   
    > Was könnte falsch sein?  
    >   
    > Gruß, Gast  
      
    Mit var\_dump($\_SERVER) oder phpinfo() bekommst du den kompletten Pfad, den du brauchst ...;  
      
    mfg  
      
    tami
    
    1. Hallo tami,

      danke für den Tipp.

      Jetzt kommt folgende Seltsameit:

      Wenn ich den Pfad, also http://example/musik/liedtexte/ aufrufe, dann
      "Forbidden You don't have permission to access /musik/liedtexte/ on this server."

      Wenn ich eine Datei in diesem Pfad aufrufe, wird sie angezeigt ohne Passwort-Abfrage.

      Gast

      1. hi,

        Hallo tami,

        danke für den Tipp.

        Jetzt kommt folgende Seltsameit:

        Wenn ich den Pfad, also http://example/musik/liedtexte/ aufrufe, dann
        "Forbidden You don't have permission to access /musik/liedtexte/ on this server."

        Wenn ich eine Datei in diesem Pfad aufrufe, wird sie angezeigt ohne Passwort-Abfrage.

        Naja, aber wenn du einmal eingeloggt warst, bleibst du eingeloggt. Hast du das berücksichtigt? Ansonsten stimmt mit deiner .htaccess was nicht.

        http://de.selfhtml.org/servercgi/server/htaccess.htm

        mfg

        tami

        1. ho,

          Naja, aber wenn du einmal eingeloggt warst, bleibst du eingeloggt.

          War schon auf der Seite, bevor ich die .htaccess hochgeladen habe. Und habe dann bei jedem neuen Versuch den Firefox geschlossen und neu gestartet.

          Ansonsten stimmt mit deiner .htaccess was nicht.

          So sieht die .htaccess jetzt aus:

          # .htaccess-Datei für Liedtexte  
          AuthType Basic  
          AuthName "Geschützer Bereich "  
          # AuthUserFile /opt/..../musik/liedtexte/.htusers  
          # Require user  
            
          # AuthGroupFile /dev/null  
          AuthGroupFile /opt/..../musik/liedtexte/.htgroups  
          Require group (Name)  
          
          

          Habe zusätzlich noch eine index.php hochgeladen, die wird jetzt ohne Rückfrage gezeigt, wenn ich den Ordner per Browser aufrufe.

          Gruß, Gast

          1. hi,

            ho,

            Naja, aber wenn du einmal eingeloggt warst, bleibst du eingeloggt.

            War schon auf der Seite, bevor ich die .htaccess hochgeladen habe. Und habe dann bei jedem neuen Versuch den Firefox geschlossen und neu gestartet.

            Ansonsten stimmt mit deiner .htaccess was nicht.

            So sieht die .htaccess jetzt aus:

            .htaccess-Datei für Liedtexte

            AuthType Basic
            AuthName "Geschützer Bereich "

            AuthUserFile /opt/..../musik/liedtexte/.htusers

            Require user

            AuthGroupFile /dev/null

            AuthGroupFile /opt/..../musik/liedtexte/.htgroups
            Require group (Name)

            
            >   
            > Habe zusätzlich noch eine index.php hochgeladen, die wird jetzt ohne Rückfrage gezeigt, wenn ich den Ordner per Browser aufrufe.  
            >   
            > Gruß, Gast  
              
            AuthType Basic  
            AuthName "Protected Area"  
            AuthUserFile FILE  
            require valid-user  
              
            <http://www.webhostlist.de/forum/quick-tipps/91127-htaccess-verzeichnis-mit-password-schuetzen.html>  
              
            oder  
              
            AuthUserFile /var/www/.../.htpasswd  
            AuthGroupFile /dev/null  
            AuthName Intern  
            AuthType Basic  
            <Limit GET>  
            Require user USERNAME  
            </Limit>  
              
            letzteres ist bei mir im einsatz und funktioniert innerhalb des verzeichnisses.  
              
              
            mfg  
              
            tami
            
            1. <Limit GET>
              Require user USERNAME
              </Limit>

              Ahh, das ist der Trick. require muss innerhalb von limit stehen. Jetzt geht es.

              Danke.

              Kalle

              1. Kann mich ja täuschen aber begrenzt du die Sperrung damit nicht auf GET-Requests?
                Das würde heissen, per POST und HEAD kann jeder ohne Passwort drauf.

                Berichtigt mich jemand, wenn ich falsch liege.

                1. hi,

                  Kann mich ja täuschen aber begrenzt du die Sperrung damit nicht auf GET-Requests?
                  Das würde heissen, per POST und HEAD kann jeder ohne Passwort drauf.

                  Berichtigt mich jemand, wenn ich falsch liege.

                  Das ist sicher richtig. Ich frage mich grade, ob man per POST eine Datei GETten kann?

                  http://www.bingo-ev.de/~ub304/htaccess.htm

                  mfg

                  tami

                  1. Meine Herren,

                    Das ist sicher richtig. Ich frage mich grade, ob man per POST eine Datei GETten kann?

                    Standardmäßig sind die meisten Server wohl so eingestellt, dass das möglich ist (reine Vermutung)

                    Habe gerade mal die forum.js-Datei mit einem Post-Request angefordert und habe sie ausgeliefert bekommen.

                    curl -d 'foo=bar' 'http://forum.de.selfhtml.org/forum.js'

                    PS: habe den Code dafür nicht wirklich in PHP ausgeführt, aber Bash kann man als Sprache nicht auswählen.

              2. Tach!

                <Limit GET>
                Require user USERNAME
                </Limit>

                Ahh, das ist der Trick. require muss innerhalb von limit stehen. Jetzt geht es.

                Nein, das muss nur, wenn du es auf diese Request-Methode (oder was auch immer limitiert wird) einschränken willst. Ansonsten kann das Limit auch ganz entfallen. Zudem ist es nicht notwendig, Angaben zu den Gruppen zu machen, wenn du gar keine Gruppen verwalten willst.

                dedlfix.

                1. hi,

                  Tach!

                  <Limit GET>
                  Require user USERNAME
                  </Limit>

                  Ahh, das ist der Trick. require muss innerhalb von limit stehen. Jetzt geht es.

                  Nein, das muss nur, wenn du es auf diese Request-Methode (oder was auch immer limitiert wird) einschränken willst. Ansonsten kann das Limit auch ganz entfallen. Zudem ist es nicht notwendig, Angaben zu den Gruppen zu machen, wenn du gar keine Gruppen verwalten willst.

                  Wenn ich das Limit weglasse, werden alle Anfragen abgewiesen? Wäre also richtiger für einen kompletten Schutz?

                  mfg

                  tami

                  1. Tach!

                    Wenn ich das Limit weglasse, werden alle Anfragen abgewiesen? Wäre also richtiger für einen kompletten Schutz?

                    Nichts zu limitieren umfasst logischerweise alles (im Geltungsbereich der jeweiligen Direktiven).

                    dedlfix.

          2. hi,

            War schon auf der Seite, bevor ich die .htaccess hochgeladen habe. Und habe dann bei jedem neuen Versuch den Firefox geschlossen und neu gestartet.

            Neustart von FF sollte eigentlich klappen. Vielleicht aber doch mal einen "unbefleckten" Alternativbrowser starten?

            mfg

            tami