HTACCESS ---- Fehlermeldung
D. Kreideweiss
0 Felix Schwarz0 Lars0 Felix Schwarz0 Lars0 Henryk Plötz
0 Lars
Wenn ich bei HTACCESS geschützen Dokumenten 3x das falsche login eingebe, bekomme ich eione Seite mit entsprechender Fehlermeldung zu sehen...
Kann ich für diese Seite eine eigene Seite einsetzen???
Ich glaube, dass ist eine 403 (access denied), dann koenntest Du das machen.
Im htaccess file einfach folgendes aufnehmen
ErrorDocument [Fehlercode] [URL]
also z.B.
ErrorDocument 403 http://www.meineSeite.de
Funktioniert auch mit allen anderen Errorcodes!
fs
Ich glaube, dass ist eine 403 (access denied), dann koenntest Du das machen.
Im htaccess file einfach folgendes aufnehmen
ErrorDocument [Fehlercode] [URL]
also z.B.
ErrorDocument 403 http://www.meineSeite.deFunktioniert auch mit allen anderen Errorcodes!
fs
hi,
gegenfrage: wieso laesst htaccess bei mir weit mehr als 3 versuche durch?
kann ich cgi's in cgi-bin damit schuetzen? bei scriptaufruf - htaccess-abfrage?
cu
Hi.
gegenfrage: wieso laesst htaccess bei mir weit mehr als 3 versuche durch?
imho eine server-spezifische Einstellung-
kann ich cgi's in cgi-bin damit schuetzen? bei scriptaufruf - htaccess-abfrage?
Was willst Du denn machen?
"Runterladen" vom Quellcode geht eh nicht.
Und Passwortschutz ist viel besser im cgi selbst einzubauen (z.B. wird Parameter pwd=XYZ gefordert, sonst macht das cgi irgendwas).
Ausserdem kannst Du dann die fehlgeschlagenen Aufrufe loggen... ;-)
Aber prinzipiell muesste ein pwd-Schutz auch fuer'n cgi-bin funktionieren.
fs
Hi.
gegenfrage: wieso laesst htaccess bei mir weit mehr als 3 versuche durch?
imho eine server-spezifische Einstellung-
imho? wo stell ich das ein?
kann ich cgi's in cgi-bin damit schuetzen? bei scriptaufruf - htaccess-abfrage?
Was willst Du denn machen?
"Runterladen" vom Quellcode geht eh nicht.
nein, wegen $ENV{'REMOTE_USER'}
Und Passwortschutz ist viel besser im cgi selbst einzubauen (z.B. wird Parameter pwd=XYZ gefordert, sonst macht das cgi irgendwas).
Ausserdem kannst Du dann die fehlgeschlagenen Aufrufe loggen... ;-)
ja da koenntest du recht haben.
Hallo
gegenfrage: wieso laesst htaccess bei mir weit mehr als 3 versuche durch?
imho eine server-spezifische Einstellung-
Negativ. Eine maximale Versuchsanzahl ist keine Eigenschaft von HTTP und damit auch nicht im Server zu konfigurieren. Der Browser bekommt einen 401 Status, einen Response-Header mit den nötigen Informationen für eine Identifizierung und evt. noch einen Body.
(Es ist übrigens _nicht_ 403. Zitat RFC2616 "Authorization will not help")
Den übermittelten Body kannst du per htaccess (beim Apache) oder Serverkonfiguration einstellen. Ob der Browser das anzeigt oder nicht, und wenn ja nach wievielen Versuchen und ob er überhaupt drauf reagiert ist dem Browserhersteller oder dem Benutzer überlassen.
kann ich cgi's in cgi-bin damit schuetzen? bei scriptaufruf - htaccess-abfrage?
Was willst Du denn machen?
"Runterladen" vom Quellcode geht eh nicht.
Die Sicherheitslücken sind nicht nur bei MS-Ware reichhaltig vorhanden. --> Lieber nicht drauf verlassen.
Und CGIs sind Requests wie alle anderen auch und können geschützt werden.
Und Passwortschutz ist viel besser im cgi selbst einzubauen (z.B. wird Parameter pwd=XYZ gefordert, sonst macht das cgi irgendwas).
Ausserdem kannst Du dann die fehlgeschlagenen Aufrufe loggen... ;-)
Passwortschutz ist hier, denke ich, besser per Serverkonfiguration zu erledigen. Den Servercode haben in der Regel viele Leute überprüft und ich würde annehmen wollen, das er wesentlich weniger fehlerreich ist, als alles was du programmieren würdest. Außerdem loggt ein gescheit konfigurierter Server ohnehin jeden Fehlschlag, besonders Sicherheitsverstöße.
Wenn du versuchst Passwörter per Formularfeld zu übermitteln, läufst du Gefahr diese im Klartext durch die Leitung zu schicken.
Henryk Plötz
Grüße von der Ostsee
<img src="http://www.ploetzli.ch/banner.jpg" alt="">
Wenn ich bei HTACCESS geschützen Dokumenten 3x das falsche login eingebe, bekomme ich eione Seite mit entsprechender Fehlermeldung zu sehen...
Kann ich für diese Seite eine eigene Seite einsetzen???
hi,
evtl ja, mit errordocument 500 /url/zu/deiner/datei
guck mal unter http://www.apache.org/docs/mod/core.html
viel glueck