Moin!

Es ist doch richtig, dass man die .htpasswd (benutzerdaten& passwort-speicherung für .htaccess) in einen ordner oberhalb des webordners legt, oder?

Kann man machen, muß man aber nicht.

also z.B. dass die .htacces in /home/roland/httpdocs/ liegt und .htpasswd in /home/roland/ => http-zugriffe können nicht auf den ordner zugreifen, indem .htpasswd liegt

Der Sinn liegt darin, dass ein HTTP-Zugriff auf das Verzeichnis oberhalb des DOCUMENT_ROOT unter normalen Umständen nicht möglich ist (es kann natürlich noch anderweitig irgendwie trotzdem online gebracht worden sein, das ist aber nicht der Normalzustand).

Andererseits hat jeder Apache in seiner Standardkonfiguration die Einstellung, dass jeglicher HTTP-Zugriff auf alle innerhalb des DOCUMENT_ROOT befindlichen Dateien, die mit ".ht" anfangen verboten ist.

Damit ist im Prinzip der Schutzlevel beider Vorgehensweisen identisch: Kein Zugriff per HTTP.

Wenn das stimmt, könnt ihr mir irgendwelche links zu Dokumenten geben, in denen das steht? (mit google hab ich  nix gefunden und ein Server-Techniker is andrer Meinung....

Er kann zu Recht anderer Meinung sein. Die Platzierung von Dateien außerhalb des HTTP-zugriffsfähigen Bereichs ist die sicherere Methode, wenn man sich über die Konfiguration des Apache nicht sicher ist, oder diese von unbekannten Admins auch mal geändert werden könnte. Außerdem klingt die Speicherung an einem eher zentralen Ort auch sehr nach zentraler Benutzerverwaltung (wenngleich in einer .htpasswd-Datei nicht allzu viele Benutzer drinstehen sollten, da der Apache immer die gesamte Datei von vorne an durchsuchen muß, um das Passwort zu prüfen - für große Benutzermengen sollte man die Daten in einer Datenbank speichern und mod_auth_mysql o.ä. verwenden).

Der Dateiname der Passwort-Datei darf übrigens auch komplett anders heißen. Diese beiden Faktoren (Zugriff kann verboten werden, Dateiname ist frei wählbar) erlauben dem erfahrenen Admin größere Flexibilität und dem Angreifer größere Probleme, auch wenn die Datei innerhalb des DOCUMENT_ROOT gespeichert ist.

Ich sehe die Ansicht deines Admins also absolut nicht als tragisch an. Zumal "außerhalb des DOCUMENT_ROOT" je nach Verzeichnisstruktur ganz schön weit weg von der .htaccess sein kann. Da geht Ordnung und Zuordnungsfähigkeit dann vor 0,01% mehr Sicherheit.

- Sven Rautenberg