Christoph Schnauß: Frage zu .htaccess

Beitrag lesen

SELF-Forum

Frage zu .htaccess

Christoph Schnauß
Informationen zu den Bewertungsregeln

hi,

Bei Selfhtml steht der folgende Satz

da wärs ganz gut, wenn du genauer angeben würdest, "wo" dieser Satz steht

Im Interesse der Sicherheit ist es auch besser, die Datei mit den Benutzern und Passwörtern außerhalb des Web-Projekts auf dem Server abzulegen. Aber nicht bei allen Hosting-Angeboten können Sie auf den Server-Rechner außerhalb des eigenen Web-Projekts zugreifen.
Was is damit gemeint ? Heisst das, daß ich die Datei .htpasswd nicht in dem geschützten Bereich ablegen soll

Kommt darauf an, wo  dieser "geschützte Bereich" liegt. Gemeint ist grundsätzlich so etwas:
Der Server hat ein Verzeichnis /www/users/deinName, auf das du via http und ftp (und vielleicht sogar telnet) Zugriff hast und weitere Unterverzeichnisse anlegen kannst, das heißt, dort liegt also physikalisch _und_ logisch dein Web-Projekt. Dann ist es durchaus sinnvoll, auf dem Server ein Verzeichnis www/passwords/deinName anzulegen (braucht nichtmal ein Verzeichnis zu sein, eine Datei mit diesem Namen reicht), das physikalisch nix mit deinem Web-Projekt zu tun hat (sogar auf einer andren Platte liegen kann), dort die entsprechenden Daten zu speichern und den logischen Bezug zu deinem Web-Projekt über die httpd.conf herzustellen. Du kannst trotzdem innerhalb deines Web-Projekts .htaccess-Dateien ganz nach Belieben ablegen

sondern irgendwo auf meinem Webspace ausserhalb davon ?

eben nicht "auf deinem Webspace", sondern "außerhalb".

wenn ja, warum soll das im Interresse der Sicherheit sein, wenn die Passwortdatei "offen" auf meinem Webspace liegt ?

Und wenn nein ?
Die sicherheitsrelevanten Daten (das muß sich ja nicht auf ein Paßwort beschränken) sollen eben gerade nicht "offen" herumliegen. Und es gibt durchaus Webspace-Anbieter, die so verfahren, wie ich es umrissen habe.

Im übrigen: es wäre einem Server-Betreiber nicht anzuraten, Benutzerrechte für physikalische Zugriffe nach _außerhalb_ zu vergeben. Was hat ein beliebiger WWW-Besucher im /etc-Verzeichnis des Servers zu suchen, oder in /bin oder in /local oder gar in dem Verzeichnis, in dem die httpd.conf des Servers liegt ? Doch gar nix. Es gibt allerdings auch hier Anbieter, die mindestens lesenden Zugriff ermöglichen, was ich für extrem sorglos halte.

Grüße aus Berlin

Christoph S.

Beitrag melden
Informationen zu den Bewertungsregeln