CharlyH: Ausgabe der .htaccess Datei im Browser

Hallo!

Ich weiß, dass ich es vor langer Zeit schon völlig problemlos geschafft habe, mir eine (eigene) .htaccess Datei im Browser ausgeben zu lassen, weil ich damals kurz etwas überprüfen wollte. Gestern war das auch wieder so, nun schaffe ich es aber nicht mehr, den Inhalt der .htaccess Datei auszugeben. Es erscheint jedes Mal die Statusmeldung "Forbidden - You don't have permission to access this resource.". Und zwar weder lokal mit XAMPP, noch live am richtigen Server.

Das steht normalerweise drin:

<Files .htaccess>
order deny,allow
deny from all
</Files>

Das habe ich (ergebnislos) verändert, um eine Ausgabe zu ermöglichen:

<Files .htaccess>
order deny,allow
allow from all
</Files>

Ich war der Meinung, das reicht. Leider kommt weiterhin eine FORBIDDEN Statusmeldung. Auch ein Aufruf ohne Cache ändert daran nichts. Auch, wenn ich alles andere aus dem Root Verzeichnis entferne und sonst nichts in der .htaccess selbst steht, ändert sich nichts. Es wäre also auch nichts da, was das beeinflussen könnte.

Kann mir bitte wer auf due Sprünge helfen und sagen, was da nicht stimmt und wie ich den Inhalt ändern muss, damit die .htassess Datei im Browser ausgegeben wird? (Mir ist natürlich klar, dass man real keine Ausgabe ermöglicht!! Ich möchte es nur für mich jetzt temporär bewerkstelligen und komme seit gestern Nachmittag zu keinem Ergebnis.)

Danke für jede Hilfe!

CharlyH

  1. Tach!

    Ich weiß, dass ich es vor langer Zeit schon völlig problemlos geschafft habe, mir eine (eigene) .htaccess Datei im Browser ausgeben zu lassen, weil ich damals kurz etwas überprüfen wollte.

    Ich verstehe den Sinn hinter dieser Aktion nicht. Wenn du die Datei zum Ausschalten der Zugriffsbeschränkung ändern musst, hast du sie doch sowieso schon vorliegen.

    (Mir ist natürlich klar, dass man real keine Ausgabe ermöglicht!! Ich möchte es nur für mich jetzt temporär bewerkstelligen[...].)

    Nimm einfach ein Dateitransferprogramm deiner Wahl und lade sie dmit herunter. Das ist einfacher und zuverlässiger als Lücken ins System zu bringen, die man dann vielleicht rauszumachen vergisst.

    Warum das Problem auftritt? Kann an vielen Ursachen liegen. Wird die Datei überhaupt berücksichtigt?

    dedlfix.

    1. Ich verstehe den Sinn hinter dieser Aktion nicht.

      Es geht nicht darum, ob das jetzt Sinn macht oder nicht. Ich habe das früher problemlos machen können und stelle plötzlich fest, dass ich es nicht mehr schaffe. Ich möchte beim Aufruf der URL den Inhalt der .htaccess Datei im Browser sehen. Ich habe das damals auch nicht anders gelöst als jetzt und möchte einfach wissen, was da zu ändern ist.

      Nimm einfach ein Dateitransferprogramm deiner Wahl und lade sie dmit herunter.

      Nochmal: Ich brauch das nicht runterladen, ich weiß ja eh, was drin steht und habe die Ressource lokal vor mir. Und ich WEISS dass das sinnlos ist und man eine .htaccess Datei nicht öffentlich zugänglich machen soll. Aber darum geht es nicht. Ich habe das früher technisch ohne ein Problem bewerkstelligen können und stehe jetzt vor der Frage, was ich da anders gemacht habe als jetzt, wo ich es nicht mehr bewerkstelligen kann.

      1. Hallo CharlyH,

        ich bin kein Indianerhäuptling, weiß aber, dass der Apache nicht nur die .htaccess Datei berücksichtigt, sondern auch die httpd.conf Datei. Ob die Datei so heißt oder nicht, legt die -f Option beim Start des Apache fest.

        In der httpd.conf kannst Du einstellen, ob bestimmte Direktiven über .htaccess änderbar sind. Möglicherweise schießt da was quer.

        Rolf

        --
        sumpsi - posui - obstruxi
        1. Hallo,

          ich bin kein Indianerhäuptling, weiß aber, dass der Apache nicht nur die .htaccess Datei berücksichtigt, sondern auch die httpd.conf Datei.

          "auch" ist untertrieben - das ist die Haupt-Konfigurationsdatei.

          In der httpd.conf kannst Du einstellen, ob bestimmte Direktiven über .htaccess änderbar sind. Möglicherweise schießt da was quer.

          Üblicherweise wird da ein deny from all für "^.ht" festgelegt, also für alle Dateien, deren Name mit ".ht" beginnt. Das betrifft dann auch Dateien wie .htuser oder .htgroups (das ist eine übliche Namenskonvention).

          Und auf seinem XAMPP-Testserver kann Charly die httpd.conf nach Herzenslust bearbeiten und seinen Server zerschießen - beim Hoster online hat er die Möglichkeit hoffentlich nicht.

          Live long and pros healthy,
           Martin

          --
          Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
        2. Was ich so komische finde, ist, dass ich es nicht mal lokal mit XAMPP schaffe. Egal, was ich auch in die .htaccess schreibe, es kommt ein VORBIDDEN. Und wie gesagt, ich WEISS, dass ich das schon ein mal völlig problemlos geschafft habe. Auf XAMPP und live am Server.

          1. Hallo,

            VORBIDDEN

            Gesundheit!

            Und wie gesagt, ich WEISS, dass ich das schon ein mal völlig problemlos geschafft habe. Auf XAMPP und live am Server.

            Wenn du das "live am Server" geschafft hast, sollte man den Hoster unbedingt als Dilettanten bekanntmachen.

            Live long and pros healthy,
             Martin

            --
            Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
            1. Wenn du das "live am Server" geschafft hast, sollte man den Hoster unbedingt als Dilettanten bekanntmachen.

              Nein: Man kann das auf die ganz linke Tour hinbekommen. Aber dem Typ, der ihm damals verraten hat, wie sowas geht, den Kopf abschrauben.

              Achtung: Ich hab im ersten Satz Blumen nicht nur versteckt, sondern diese auch als Filter genutzt.

              1. Hallo,

                Wenn du das "live am Server" geschafft hast, sollte man den Hoster unbedingt als Dilettanten bekanntmachen.

                Nein: Man kann das auf die ganz linke Tour hinbekommen. Aber dem Typ, der ihm damals verraten hat, wie sowas geht, den Kopf abschrauben.

                Achtung: Ich hab im ersten Satz Blumen nicht nur versteckt, sondern diese auch als Filter genutzt.

                mir ist klar, was du damit meinst, diesen Weg hatte ich vor einer Viertelstunde oder so auch schon im Sinn. Ich hab's aber auch aus gutem Grund für mich behalten - zumal es nicht zur Beschreibung passt, die ich so verstehe, dass Charly das allein durch Einstellungen in .htaccess selbst geschafft hat.

                Live long and pros healthy,
                 Martin

                --
                Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
                1. dass Charly das allein durch Einstellungen in .htaccess selbst geschafft hat.

                  Das kann wohl auch gehen, denn für die benötigte Einstellung ist der passende Kontext sogar vorgesehen. Vielleicht sollte der Gesetzgeber einschreiten und von Hostern verlangen, dass diese sich einen geeigneten Qualifikationsnachweis (Informatik-Ausbildung/Studium, LPIC II oder so) vorlegen lassen bevor die Kunden an Servern fummeln lassen.

                  Oh. Mist. Dann müsste ich ja rasch zu der Prüfung für die ich schon „massenhaft“ Teilnehmer (mit) ausgebildet habe … 🤣

          2. Hallo CharlyH,

            hast Du das mit genau dieser XAMPP Installation schon geschafft? Oder gab's seither ein Update oder eine Neuinstallation?

            Es kann auch sein, dass der Hoster des Servers das mal zugelassen hat und seitdem dazu gelernt hat.

            Wieauchimmer, auch XAMPP hat eine httpd.conf. Und meine Annahme ist, dass da was drin steht, was die Erlaubnis in der .htaccess verhindert.

            Natürlich kommen auch die anderen Ideen in Frage: .htaccess wird gar nicht berücksichtigt (was aber in der httpd.conf veranlasst wird) oder eine von 1000 anderen Möglichkeiten, die wir von hier aus nicht beurteilen können.

            Rolf

            --
            sumpsi - posui - obstruxi
      2. Du lässt ja auch nicht Deine Wohnungstür offen stehen, damit Du nach dem Urlaub nicht nach dem Schlüssel suchen musst. Soll heißen: Sicherheit kann manchmal etwas unbequem sein.

        Es geht nicht darum, ob das jetzt Sinn macht oder nicht. Ich habe das früher problemlos machen können und stelle plötzlich fest, dass ich es nicht mehr schaffe.

        Es geht darum, dass das, was Du früher getan hast, im höchsten Maße unsicher ist und dass Dir niemand mit einem ernsthaften Anspruch an die Seriosität der eigenen Person dabei helfen will.

        Das gilt insbesondere deswegen, weil Dir ganz offensichtlich höchst notwendige Grundkenntnisse fehlen, denn sonst wäre das von Dir geschilderte Problem ein absoluter „Lapsus“, denn Du würdest wissen, warum (hier: rein technisch betrachtet) denn diese Datei vom Webserver nicht ausgeliefert wird und könntest das leicht umgehen. Aber genau dann würdest Du eben so genau wissen, warum Du genau das nicht tun willst und genau dieses Ansinnen nicht verfolgen.

        Nimm also den Tipp von dedlfix und beschaue Deine Datei z.B. in einem Programm wie Winscp (wenn diese denn auf einem unixoiden Webserver liegt), oder in einer ssh-shell mit less (wie vor). Liegt die Datei aber lokal vor, dann verwende den Dateibetrachter, den Du üblicherweise benutzt.

        1. Herrgott genau DAS habe ich befürchtet. Moralische Belehrungen.

          Ich WEISS, dass die .htaccess live nicht ausgegeben wird und das auch nicht sein soll. Und das mache ich auch nicht!!!

          Mir geht es rein um den technischen Aspekt. Ich weiß, dass ich das schon mal geschafft habe und jetzt schaffe ich das nicht mehr.

          Und ich habe gehofft, dass mir wer sagt, woran das liegen könnte. Ohne mich zu belehren, dass man das nicht tut.

          1. Herrgott genau DAS habe ich befürchtet. Moralische Belehrungen.

            Das ist keine „moralische Belehrung“. Ich erkläre Dir warum ich dabei nicht helfen werde.

            Und ich habe gehofft, dass mir wer sagt, woran das liegen könnte.

            Es liegt ganz konkret am zu geringen Wissen über den verwendeten Apache Webserver.

        2. Hallo Raketensicherheitsverschweiger,

          Es geht darum, dass das, was Du früher getan hast, im höchsten Maße unsicher ist und dass Dir niemand mit einem ernsthaften Anspruch an die Seriosität der eigenen Person dabei helfen will.

          Du hast - wie auch andere im Thread - das Talent, das Wesentliche vom Unwesentlichen zu unterscheiden. Und auf dem Unwesentlichen herumzureiten.

          Charly wird doch wohl versuchen dürfen, die Sicherheitsmechanismen im Apache zu verstehen und damit zu spielen? Wenn er nicht alle Einflussgrößen kennt, ist so eine Spielerei ideal dafür, sie kennen zu lernen. Und es ist besser, er fragt Experten, als dass er durch Herumklimpern Halbwissen erlangt. Wieso sollte es unseriös sein, jemandem das Zusammenspiel der vorhandenen Sicherheitsfeatures zu erläutern? Ich finde es unseriös bis ärgerlich, jemandem zu sagen: Du weißt das nicht, und ich erklär's Dir auch nicht, damit Du nicht versehentlich damit Mist baust und mich für schuldig erklärst.

          Natürlich tut man das besser im XAMPP als auf dem öffentlichen Server. Und natürlich muss Charly jetzt Doku wälzen um sich die Details anzulesen. Wichtig wären Pointer auf die entscheidenden Stellen der Doku. Die kenne ich nicht, ich bin bei Apache vermutlich unbeleckter als Charly.

          Rolf

          --
          sumpsi - posui - obstruxi
          1. Du hast - wie auch andere im Thread - das Talent, das Wesentliche vom Unwesentlichen zu unterscheiden. Und auf dem Unwesentlichen herumzureiten.

            Ich gebe ab Montag „Datenschutz und Datensicherheit“(*).

            Da kann ich mich schlecht am Wochenende hinstellen und zeigen wie man die .htaccess öffentlich zugänglich macht…


            *) Die Kurse in den letzten Wochen: Vier Tage Python-Grundlagen und Python-Fortgeschritten mit Numpy, davor MySQL-Admin, davor MariaDB-Admin, davor Linux-Admin (Die Lehrer unter den Teilnehmern wissen, dass ich „am Stock gehe“ … und mir ist mal wieder klar, warum es diese angeblich luxuriöse Begrenzung auf 26 Unterrichtsstunden/Woche gibt.)

            1. Hallo Rajörgenheini,

              Da kann ich mich schlecht am Wochenende hinstellen und zeigen wie man die .htaccess öffentlich zugänglich macht…

              Warum nicht? Als schlechtes Beispiel taugt das immer.

              Wenn der Zugriff aber nur mit irgendwelchen miesen Tricks möglich ist (ich weigere mich mal, link und mies gleichzusetzen), ok, dann braucht man die nicht zu verkünden. Wenn die miesen Tricks aber durch geschickt ungeschicktes Einstellen irgendwelcher Schalterchen realisierbar sind, dann sollte man durchaus sagen, dass es die gibt, und vor den gefährlichen Werten warnen.

              "Irgendwo da draußen sind Drachen" ist weniger nützlich als eine Karte mit roten Zonen, wo "Here Be Dragons" drinsteht.

              Rolf

              --
              sumpsi - posui - obstruxi
              1. "Irgendwo da draußen sind Drachen" ist weniger nützlich als eine Karte mit roten Zonen, wo "Here Be Dragons" drinsteht.

                In meinen Apache-Kursen zeige ich die Stelle und verkünde, dass ich jedem, der daran auch nur ein Zeichen ändert, den „Kopf aufschraube um nachzusehen, nicht ob, sondern welche Defekte noch vorliegen“.

                😀

                Hint:

                grep -n "denied" /etc/apache2/* 2> /dev/null | tail -n1
                
                1. Hallo,

                  den „Kopf aufschraube um nachzusehen, nicht ob, sondern welche Defekte noch vorliegen“.

                  das wird für die meisten Menschen schon nach einer Vierteldrehung äußerst unangenehm. 😉

                  grep -n "denied" /etc/apache2/* 2> /dev/null | tail -n1
                  

                  Ich vermute, du erwartest dort Logdateien. Die würdest du aber bei einem von mir betriebenen System dort nicht finden, sondern unter /srv. Für irgendwas muss das in der LSB vorgesehene Verzeichnis /srv doch gut sein, daher lege ich dort alle Arbeits- und Protokolldateien der Serverdienste ab. Nur die Programmdateien und die Konfiguration (also das, was sich nicht dauernd ändert) liegt bei mir in /bin bzw. /etc.

                  Live long and pros healthy,
                   Martin

                  --
                  Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
                  1. Hi,

                    grep -n "denied" /etc/apache2/* 2> /dev/null | tail -n1
                    

                    Ich vermute, du erwartest dort Logdateien.

                    Wohl eher die conf(iguration)-Dateien.

                    cu,
                    Andreas a/k/a MudGuard

                    1. Hallo,

                      grep -n "denied" /etc/apache2/* 2> /dev/null | tail -n1
                      

                      Ich vermute, du erwartest dort Logdateien.

                      Wohl eher die conf(iguration)-Dateien.

                      in denen würde ich aber kein "denied" (Partizip Perfekt!) erwarten.

                      Live long and pros healthy,
                       Martin

                      --
                      Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
                      1. Hi,

                        grep -n "denied" /etc/apache2/* 2> /dev/null | tail -n1
                        

                        Ich vermute, du erwartest dort Logdateien.

                        Wohl eher die conf(iguration)-Dateien.

                        in denen würde ich aber kein "denied" (Partizip Perfekt!) erwarten.

                        in einem Kommentar vielleicht?

                        cu,
                        Andreas a/k/a MudGuard

                      2. in denen würde ich aber kein "denied" (Partizip Perfekt!) erwarten.

                        Beim Apache 2.4 auf jeden Fall.

                        Die Ausgabe des gezeigten Befehls lautet übrigens (bei mir):

                        /etc/apache2/apache2.conf:197:	Require all denied
                        

                        Ich hätte es auch übertreiben und die Datei mit dem vi und Cursor in Zeile 197 öffnen können 😀.

      3. Tach!

        Ich habe das früher technisch ohne ein Problem bewerkstelligen können und stehe jetzt vor der Frage, was ich da anders gemacht habe als jetzt, wo ich es nicht mehr bewerkstelligen kann.

        Das wird dir keiner direkt beantworten können. Der Apache hat sehr viele Konfigurationsmöglichkeiten, die da reinspielen können.

        Prüfe, ob die Datei berücksichtigt wird (Fehler einbauen muss eine Fehlermeldung ergeben), prüfe ob die Direktiven ziehen, auch mal an anderen Dateien testen, die bisher schon ausgeliefert wurden.

        dedlfix.