Jochen Kubik: installieren von .htaccess

Hallo Forumler,

vorweg:
habe
http://www.teamone.de/selfaktuell/artikel/schroepl01.htm
gelesen !!!

Habe im ASCII format übertragen !
Habe reinen Texteditor verwendet!
Habe mit SELF HTML Formular verschlüsselt:

So jetzt zu meinem prob:
.htaccess ins Verzeichnis /schutz
benutzer.txt ins oberste mir zugänliche Verzeichnis
-Pfad in htaccess angepasst!

hier die .htaccess:
--------------------cut---------------------
authType      basic
                      
authName      schutz

authUserFile  /usr/www/htdocs/fotografenmeister.de/benutzer.txt

<Limit GET>
require valid-user
</Limit>
------------------cut--------------------------

hier die benutzer.txt

------------------cut--------------------------
kubik:IN1su5vRYbcCQ
------------------cut--------------------------
entspricht:
kubik:123

Leider funkt's nicht!!!!!!!!!!!

Warum??????

ach ja hier noch der Link zum geschützten Verzeichnis:
http://www.fotografenmeister.de/schutz/

  1. Hi,

    kann Dir bei Deinem Prob leider nicht weiterhelfen. Allerdings ist die von Dir vorgestellte Methode nicht sicher, da die Möglichkeit besteht, die "benutzer.txt" downzuloaden. Diese Datei muß in einem Verzeichnis stehen, auf das User über einen Browser keinen Zugriff haben.

    Bis dann.
    Patric

    Hallo Forumler,

    vorweg:
    habe
    http://www.teamone.de/selfaktuell/artikel/schroepl01.htm
    gelesen !!!

    Habe im ASCII format übertragen !
    Habe reinen Texteditor verwendet!
    Habe mit SELF HTML Formular verschlüsselt:

    So jetzt zu meinem prob:
    .htaccess ins Verzeichnis /schutz
    benutzer.txt ins oberste mir zugänliche Verzeichnis
    -Pfad in htaccess angepasst!

    hier die .htaccess:
    --------------------cut---------------------
    authType      basic
                          
    authName      schutz

    authUserFile  /usr/www/htdocs/fotografenmeister.de/benutzer.txt

    <Limit GET>
    require valid-user
    </Limit>
    ------------------cut--------------------------

    hier die benutzer.txt

    ------------------cut--------------------------
    kubik:IN1su5vRYbcCQ
    ------------------cut--------------------------
    entspricht:
    kubik:123

    Leider funkt's nicht!!!!!!!!!!!

    Warum??????

    ach ja hier noch der Link zum geschützten Verzeichnis:
    http://www.fotografenmeister.de/schutz/

    1. Klingt logisch, aber wie soll das gehen?  Ich habe ja nur auf die Verzeichnisse unter meiner Domain Zugriff!
      <leichte-grosse verwirrung>

      JK

      1. Klingt logisch, aber wie soll das gehen?  Ich habe ja nur auf die Verzeichnisse unter meiner Domain Zugriff!
        <leichte-grosse verwirrung>

        JK

        Hallo,

        "gute" Provider machen das so:

        /www
        /kunde1
           /cgi-bin
           /logs
           /public_html

        /kunde2
        ...

        das DocumentRoot ist public_html daraus werden die seiten geladen.

        alles was unter ./kunde1 liegt KANN NICHT per Browser abgefragt werden.

        lg
        Ludwig

    2. Hi,

      Allerdings ist die von Dir vorgestellte Methode nicht sicher, da die Möglichkeit besteht, die "benutzer.txt" downzuloaden.

      Besteht diese Möglichkeit wirklich? Ist nicht das Verzeichnis, in dem diese Datei steht, selbst ebenfalls durch sie geschützt?
      Darüber hinaus könnte man natürlich ein "deny" speziell auf diese Datei legen. Aber selbst wenn sie jemand lesen könnte, ständen immer noch verschlüsselte und nicht decodierbare Passworte drin.

      Was Deine Aussagen über "gute" Provider übrigens in keinster Weise einschränkt ...

      mfG - Michael

      1. Hallo Micheal,

        Du scheinst ja auf diesem Gebiet ein Fäßle zu sein, wie man bei uns im Schobaländle so sagt! Aus Deinem Artikel in SELFHTML bin ich bei der Installation nicht so richtig schlau geworden, von allem welche Einträge in der .htaccess sein müssen, und welche optional sind!
        Eine weitere Frage wie funkt das mit der Verschlüsselung, muß der surfende user das PW im Klartext eingeben? Über eine kleine Aufklärung wäre ich richtig froh!
        Grüße aus Ludwigsburg
        JK

        1. Eine weitere Frage wie funkt das mit der Verschlüsselung, muß der surfende user das PW im Klartext eingeben?

          Klar. (Wie denn sonst?)

          Über eine kleine Aufklärung wäre ich richtig froh!

          <img src="/images/08.gif" alt="">
          http://www.teamone.de/selfaktuell/artikel/schroepl02.htm#a4

  2. hier die .htaccess:
    --------------------cut---------------------
    authType      basic
                          
    authName      schutz

    authUserFile  /usr/www/htdocs/fotografenmeister.de/benutzer.txt

    Hi
    Nenne mal die Passwortdatei in .htpasswd um. Mit Punkt vornedran. Als ich mir das eingerichtet habe, wurde mir gesagt, dass das so heissen muss!?!
    Dann sollte diese Datei in einem geschuetzten Verzeichnis liegen, auf das man per Browser nicht zugreifen kann. Wurde ja bereits gesagt. Beste und wahrscheinlich einzige Methode ist das CGI-Bin. Da kommt das File rein. Aufs CGI-BIN kann man (meist?) nicht per Browser zugreifen, die PW-Datei also auch nicht auslesen.

    Moeglichkeit 2: Du nimmst nen NT-Server. Bei solchen darfst du das PW nicht verschluesseln sondern must es als Klartext schreiben. Den Fehler hatte ich auch gemacht. War damals in meiner Anleitung nicht erwaehnt. Keine Ahnung, obs in SelfHTLM steht...

    Moeglichkeit 3: Dein Hoster nutzt keinen Apache. Dann klappts nicht.

    MfG
    Thomas

    1. Hi Thomas,

      Hi
      Nenne mal die Passwortdatei in .htpasswd um. Mit Punkt vornedran. Als ich mir das eingerichtet habe, wurde mir gesagt, dass das so heissen muss!?!

      probiere ich aus!

      Dann sollte diese Datei in einem geschuetzten Verzeichnis liegen, auf das man per Browser nicht zugreifen kann. Wurde ja bereits gesagt. Beste und wahrscheinlich einzige Methode ist das CGI-Bin. Da kommt das File rein. Aufs CGI-BIN kann man (meist?) nicht per Browser zugreifen, die PW-Datei also auch nicht auslesen.

      probiere ich auch mal aus!

      Moeglichkeit 2: Du nimmst nen NT-Server. Bei solchen darfst du das PW nicht verschluesseln sondern must es als Klartext schreiben. Den Fehler hatte ich auch gemacht. War damals in meiner Anleitung nicht erwaehnt. Keine Ahnung, obs in SelfHTLM steht...

      kann wohl nicht den Server bei meinem Provider austauschen ;-)

      Moeglichkeit 3: Dein Hoster nutzt keinen Apache. Dann klappts nicht.

      Apache ist gecheckt!

      merci für die tipps

      JK

      1. Moeglichkeit 2: Du nimmst nen NT-Server. Bei solchen darfst du das PW nicht verschluesseln sondern must es als Klartext schreiben. Den Fehler hatte ich auch gemacht. War damals in meiner Anleitung nicht erwaehnt. Keine Ahnung, obs in SelfHTLM steht...

        kann wohl nicht den Server bei meinem Provider austauschen ;-)

        Nein, aber du kannst das Passwort statt verschluesselt in Klartext in deine Passwort-Datei schreiben.

        MfG
        Thomas

        1. Hallo Thomas,

          was mir noch nicht so klar ist:
          Ich überlege mir ein Benutzername und ein dazugehöriges PW, dann verschlüssele ich es via crypt und schreibe es in die .htpasswd
          und zwar so:

          benutzer:k09898ulk

          aber bei der Abfrage muß der User das PW doch wieder entschlüsselt in das Formular eingeben!? Warum muß dann die .htpasswd so liegen, daß sie nicht ausgelesen werden kann, wenn da das PW nur verschlüsselt drin steht? Kann man die Verschlüsselung denn sooo leicht rückgänig machen?

          Könnte die ganze Sache von Webmaster des Servers unterbunden sein?

          <immernochleichtverwirrtimkopf>
          JK

          1. Hi,

            aber bei der Abfrage muß der User das PW doch wieder entschlüsselt in das Formular eingeben!? Warum muß dann die .htpasswd so liegen, daß sie nicht ausgelesen werden kann, wenn da das PW nur verschlüsselt drin steht? Kann man die Verschlüsselung denn sooo leicht rückgänig machen?

            Nein. Deine Verwirrung aus den teils wilden Vermutungen innerhalb dieses Threads (z. B.: Du gibst den Namen der Benutzerdatei doch explizit an - einen Standardnamen braucht diese Datei deshalb natürlich nicht, es gibt aber ein Programm zu ihrer Bearbeitung, welches wiederum einen Standardnamen vorschlägt ...) ist verständlich.
            Sicherlich ist es aber noch sicherer, wenn niemand die Benutzerliste lesen kann, weil der Angreifer dann zusätzlich zum Passwort auch noch die Benutzerkennung "brechen" muß.

            Könnte die ganze Sache von Webmaster des Servers unterbunden sein?

            Dankenswerterweise hast Du einen Link auf Deine Seite angegeben.
            Damit ließ sich sofort nachprüfen, daß 1. der Schutzmechanismus aktiviert ist (nur der Zugang wird verweigert), was viele mögliche Probleme schon mal ausschließt, und Dein Provider einen Apache 1.3.6 auf UNIX hat (siehe [/cgi-local/serverid.pl]), also das Problem auch nicht daran liegt, daß beispielsweise eine Windows-Plattform vorliegt (wo die Passworte nicht bzw. anders verschlüsselt werden müßten).

            Ich vermisse ein "order"-statement in Deiner Datei, habe aber nicht ausprobiert, ob das in Deinem Falle etwas bewirken würde.
            Altenativ kannst Du mal ausprobieren, was passiert, wenn Du einen Benutzer *ohne* Passwort einträgt. Funktioniert das, dann stimmt etwas mit der Verschlüsselung nicht; funktioniert es nicht, dann würde ich den Fehler eher beim Zugriff auf die Benutzerdatei suchen.

            Ansonsten müßtest Du jetzt einen Blick in das Server-Log Deines Providers werfen können - dort ist sicherlich dokumentiert, warum der Zugriffsversuch abgelehnt wurde.
            Ohne diese Information kann ich nur raten: Es könnte sein, daß Deine Pfadangabe falsch ist und/oder der Webserver (der sicherlich unter einer anderen Kennung läuft als Deiner) kein Leserecht auf Deine Benutzerdatei hat, und diverses andere mehr.
            Jeder interne Fehler beim Zugriff auf Deine Berechtigungskonfiguration würde in einem Fehler 401 resultieren.

            mfG - Michael

            1. Hi Michael,
              danke für die Ausführliche Beschreibung! Ich werde der Sache morgen nochmal tiefer auf den Grund gehen!
              So lange hat das Forum in dieser Frage Ruhe vor mir ;-)

              nochmals Danke
              Grüße aus Ludwigsburg

              JK