tag:forum.selfhtml.org,2005:/self Hilfe bei htaccess Passwortschutz – SELFHTML-Forum 2020-11-24T10:13:41Z https://forum.selfhtml.org/self/2020/nov/24/hilfe-bei-htaccess-passwortschutz/1778392#m1778392 Katja Reinhardt 2020-11-24T08:21:18Z 2020-11-24T08:35:55Z Hilfe bei htaccess Passwortschutz <p>Hallo Zusammen,</p> <p>ich habe derzeit folgendes Problem:</p> <p>Ich habe eine Website bei Ionos geschalten. Zu dieser Domain habe ich eine Subdomain erstellt, die unter den verbunden Link auch geöffnet werden konnte. Nun wollte ich diese Subdomain mit einem Passwort für andere sperren und habe mir eine .htaccess und eine .htpasswd erstellt. Wenn ich also die Subdomain öffne, kommt auch das Feld mit der Passwortanfrage. Wenn ich aber das Passwort eingegeben habe kommt danach der Fehlercode: "500 Internal Server Error" statt der gewünschten Website. Ich habe den Code der htaccess Dabei etliche male geprüft und ich bin mir im Ungewissen wo der Fehler jetzt genau liegt. Ohne die htaccess Datei lässt sich die Subdomain super öffnen. Somit gehe ich davon aus, der Fehler liegt in der htaccess Datei und oder am falschen cryptcode des Passwortes.</p> <p>Ich bin mal so frei und stelle hier die htaccess Dadeimenge dazu:</p> <pre><code class="block">AuthType Basic AuthName "Geben Sie Ihre Zugangsdaten ein" AuthUserFile /Neue_Aenderungen_23.11.2020/.htpasswd require valid-user </code></pre> <p>Edit Rolf B: .htaccess Datei mit ~~~ eingerahmt.</p> https://forum.selfhtml.org/self/2020/nov/24/hilfe-bei-htaccess-passwortschutz/1778394#m1778394 Rolf B 2020-11-24T08:56:28Z 2020-11-24T09:58:56Z Hilfe bei htaccess Passwortschutz <p>Hallo Katja,</p> <p>ich bin nicht so der große Indianerhäuptling, aber ich würde annehmen, dass er die .htpasswd nicht findet. Du hast ihren Ort absolut angegeben, ab dem Root-Ordner.</p> <p>Ist das tatsächlich der Ablageort? Wenn Du "eine Webseite geschalten" hast, dann ist das vermutlich kein großes Paket, wo Du Zugang zum ganzen Server hast. Aber Ionos sollte Dir - irgendwo - verraten, wie der vollständige Pfad zu deinem Web lautet. Sowas wie <code>/usr/katja/wwwroot</code>, oder <code>/customers/1/2/3/example.com/httpd.www</code>.</p> <p>Letzteres ist auf meinem Web bei one.com der Fall. Da ist es so, dass der Pfad meine Webadresse enthält, und darunter der Ordner für die Webs liegt.</p> <pre><code class="block">/customers /1 /2 /3 /example.one /httpd.private /httpd.www /tmp </code></pre> <p>Ein Browser, der auf example.one zugreift, landet in httpd.www. Ich habe aber noch zwei weitere Ordner, die ein Browser nicht erreichen kann, weil sie außerhalb des Webs liegen. Eine .htpasswd würde nach httpd.private gehören. Wenn sie sich auf einen Ordner namens <code>Neue_Aenderungen_23.11.2020</code> in deinem Web bezieht, dann würde ich sie auch so nennen: Neue_Aenderungen_23.11.2020.htpasswd.</p> <p>In der .htaccess schreibt man dann</p> <pre><code class="block">AuthUserFile /customers/1/2/3/example.one/httpd.private/Neue_Aenderungen_23.11.2020.htpasswd </code></pre> <p>Guck mal, ob Du das auf deine Lage bei Ionos übertragen kannst. Wenn Du keinen Privat-Ordner neben dem Web hast, ok, dann muss die .htpasswd ins Web hinein, aber empfohlen wird das nicht. Leg sie dann in einen eigenen Ordner, und <s>sorge</s> <strong>verhindere</strong> mit anderen .htaccess Direktiven dafür, dass ein Browser auf diesen Ordner irgendwie zugreifen kann.</p> <p>Wichtig ist jedenfalls: Du <strong>musst</strong> einen absoluten und vollständigen Pfad zur .htpasswd angeben. Wenn Du einen relativen Pfad angibst, wird der - laut Handbuch - relativ zu ServerRoot aufgelöst, also dem Installationsordner des Apache. Und da kommst Du auf einem Miet-Web überhaupt nicht dran.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> https://forum.selfhtml.org/self/2020/nov/24/hilfe-bei-htaccess-passwortschutz/1778396#m1778396 MudGuard http://www.andreas-waechter.de/ 2020-11-24T09:44:50Z 2020-11-24T09:44:50Z Hilfe bei htaccess Passwortschutz <p>Hi,</p> <blockquote> <p>Guck mal, ob Du das auf deine Lage bei Ionos übertragen kannst. Wenn Du keinen Privat-Ordner neben dem Web hast, ok, dann muss die .htpasswd ins Web hinein, aber empfohlen wird das nicht. Leg sie dann in einen eigenen Ordner, und sorge mit anderen .htaccess Direktiven dafür, dass ein Browser auf diesen Ordner irgendwie zugreifen kann.</p> </blockquote> <p>nein, die .htpasswd sollte keinesfalls für einen Browser zugreifbar sein!</p> <p>Sonst kann man sich den Paßwortschutz auch gleich schenken.</p> <p>Der Browser braucht die .htpasswd nicht, der Server prüft die Zugangsberechtigung!</p> <p>cu,<br> Andreas a/k/a MudGuard</p> https://forum.selfhtml.org/self/2020/nov/24/hilfe-bei-htaccess-passwortschutz/1778397#m1778397 Rolf B 2020-11-24T09:58:21Z 2020-11-24T10:00:14Z Hilfe bei htaccess Passwortschutz <p>Hallo MudGuard,</p> <p>tja, ich werde wohl wirklich langsam senil. Ich will was schreiben, lese es später und da steht dann was ganz anderes, als ich gedacht habe. Natürlich muss man nicht für den Browserzugriff <strong>sorgen</strong>, sondern ihn <strong>verhindern</strong>. Ich habe das editiert.</p> <p>Also nochmal: Ja, die .htpasswd gehört <strong>nicht</strong> ins Web. Sie gehört außerhalb davon. Das habe ich beschrieben, am Beispiel meines eigenen Webspace bei one.com, wo es den httpd.private Ordner gibt.</p> <p>Es gibt aber mutmaßlich Webangebote, wo das nicht geht. Weil der einzige zugängliche Platz auf dem Server innerhalb des Webs liegt. In dem Fall, und <strong>nur</strong> in diesem Fall, muss man sich mit der zweitbesten Lösung behelfen. Es gibt Apache Direktiven, die das Lesen von Dateien verhindern. Zum Beispiel:</p> <pre><code class="block"><Files ~ "\.htpasswd$"> Order allow,deny Deny from all </Files> </code></pre> <p>Das ist nicht ideal, und ich bin, wie gesagt, nicht der Experte. Kann man ein solches Deny austricksen?</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> https://forum.selfhtml.org/self/2020/nov/24/hilfe-bei-htaccess-passwortschutz/1778399#m1778399 Der Martin 2020-11-24T10:06:18Z 2020-11-24T10:06:18Z Hilfe bei htaccess Passwortschutz <p>Hallo,</p> <blockquote> <p>Es gibt aber mutmaßlich Webangebote, wo das nicht geht. Weil der einzige zugängliche Platz auf dem Server innerhalb des Webs liegt.</p> </blockquote> <p>zumindest gab es die mal - vor einigen Jahren war das bei den Billigheimern noch die Regel. Ob die Zeiten inzwischen besser geworden sind ... keine Ahnung.</p> <blockquote> <p>In dem Fall, und <strong>nur</strong> in diesem Fall, muss man sich mit der zweitbesten Lösung behelfen. Es gibt Apache Direktiven, die das Lesen von Dateien verhindern. Zum Beispiel:</p> <pre><code class="block"><Files ~ "\.htpasswd$"> Order allow,deny Deny from all </Files> </code></pre> </blockquote> <p>In der Defaultkonfiguration des Indianers wird mit genau dieser Direktive schon der Zugriff auf alles unterbunden, was mit ".ht" beginnt.</p> <blockquote> <p>Das ist nicht ideal, und ich bin, wie gesagt, nicht der Experte. Kann man ein solches Deny austricksen?</p> </blockquote> <p>Mit einem PHP-Script, das gefährliche Mängel hat ...<br> Allein über HTTP jedenfalls nicht.</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Versuchungen sollte man nachgeben. Wer weiß, ob sie wiederkommen. </div> https://forum.selfhtml.org/self/2020/nov/24/hilfe-bei-htaccess-passwortschutz/1778401#m1778401 dedlfix 2020-11-24T10:13:41Z 2020-11-24T10:13:41Z Hilfe bei htaccess Passwortschutz <p>Tach!</p> <blockquote> <p>Es gibt Apache Direktiven, die das Lesen von Dateien verhindern. Zum Beispiel:</p> <pre><code class="block"><Files ~ "\.htpasswd$"> Order allow,deny Deny from all </Files> </code></pre> <p>Das ist nicht ideal, und ich bin, wie gesagt, nicht der Experte.</p> </blockquote> <p>In der Default-Konfiguration des Apachen ist bereits seit langer Zeit ein ebensolcher Ausschluss für .ht* definiert.</p> <p>Abgesehen davon könnte man mal bei Ionos schauen, ob die nicht bereits für die Standardaufgabe Paswortschutz etwas in ihre Konfigurationsoberfläche eingebaut haben. Damit sollten die kritischen Dateien auch außerhalb des Documentroot angelegt werden.</p> <p>Außerdem gibt es auch im Hilfecenter was zu finden, wie die Pfade aussehen müssen, wenn man einen <a href="https://www.ionos.de/hilfe/hosting/htaccess/verzeichnisschutz-mittels-htaccess-und-ssh-einrichten/" rel="nofollow noopener noreferrer">Verzeichnisschutz mittels .htaccess und SSH einrichtet</a>.</p> <blockquote> <p>Kann man ein solches Deny austricksen?</p> </blockquote> <p>Wenn das seitens eines Browsers gehen sollte, solltest du bei Apache einen Bugreport öffnen.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2020/nov/24/hilfe-bei-htaccess-passwortschutz/1778400#m1778400 Rolf B 2020-11-24T10:08:37Z 2020-11-24T10:13:01Z Hilfe bei htaccess Passwortschutz <p>Hallo Martin,</p> <blockquote> <p>In der Defaultkonfiguration des Indianers wird mit genau dieser Direktive schon der Zugriff auf alles unterbunden, was mit ".ht" beginnt.</p> </blockquote> <p>Ja ok. Davon war ich eigentlich auch ausgegangen. Und dann hab ich mir ein schönes Schmalztöpfchen gesucht und meinen Fuß reingesteckt. Erreichte Tiefe: 7.3 Kohl (entspricht ca 2.7 Philip)...</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div>