Roland: Wohin soll man .htpasswd speichern?

SELF-Forum

Wohin soll man .htpasswd speichern?

Roland
Informationen zu den Bewertungsregeln

Hi!

Es ist doch richtig, dass man die .htpasswd (benutzerdaten& passwort-speicherung für .htaccess) in einen ordner oberhalb des webordners legt, oder?

also z.B. dass die .htacces in /home/roland/httpdocs/ liegt und .htpasswd in /home/roland/ => http-zugriffe können nicht auf den ordner zugreifen, indem .htpasswd liegt

Wenn das stimmt, könnt ihr mir irgendwelche links zu Dokumenten geben, in denen das steht? (mit google hab ich  nix gefunden und ein Server-Techniker is andrer Meinung....

thx
Roland

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Wohin soll man .htpasswd speichern?

    Christoph Schnauß Homepage des Autors
    Informationen zu den Bewertungsregeln

    hallo,

    könnt ihr mir irgendwelche links zu Dokumenten geben

    http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz sollte zumindest für den Anfang genügend Informationen beinhalten.

    Grüße aus Berlin

    Christoph S.

    --
    Visitenkarte
    ss:| zu:) ls:& fo:) va:) sh:| rl:|
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Wohin soll man .htpasswd speichern?

      Roland
      Informationen zu den Bewertungsregeln

      das kenn ich auch, da steht das aber nicht spezifisch drinnen....

      lg
      Roland

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. Wohin soll man .htpasswd speichern?

        Thomas J.S.
        +2 Informationen zu den Bewertungsregeln

        Hallo,

        das kenn ich auch, da steht das aber nicht spezifisch drinnen....

        http://httpd.apache.org/docs/2.0/mod/mod_auth.html#authuserfile untern in der Seite ziemlich auffälig im roten Kasten (mit schönen Gruß an den Server-Techniker).
        ------
        Security

        Make sure that the AuthUserFile is stored outside the document tree of the web-server. Do not put it in the directory that it protects. Otherwise, clients may be able to download the AuthUserFile.
        ------

        Grüße
        Thomas

        Beitrag melden
        +2
        Informationen zu den Bewertungsregeln

        1. Wohin soll man .htpasswd speichern?

          Roland
          Informationen zu den Bewertungsregeln

          DANKE :-))

          Bin schon gespannt was ich jetzt als Antwort hören werde *g*

          Beitrag melden
          Informationen zu den Bewertungsregeln

          1. Wohin soll man .htpasswd speichern?

            Christoph Schnauß Homepage des Autors
            Informationen zu den Bewertungsregeln

            hi,

            Bin schon gespannt was ich jetzt als Antwort hören werde *g*

            Nix. Oder hörst du etwa etwas?

            Grüße aus Berlin

            Christoph S.

            --
            Visitenkarte
            ss:| zu:) ls:& fo:) va:) sh:| rl:|
            Beitrag melden
            Informationen zu den Bewertungsregeln

  2. Wohin soll man .htpasswd speichern?

    *Markus
    Informationen zu den Bewertungsregeln

    Hi!

    Es ist doch richtig, dass man die .htpasswd (benutzerdaten& passwort-speicherung für .htaccess) in einen ordner oberhalb des webordners legt, oder?

    Es muss nicht notwendigerweise gerade ein darüberliegendes Verzeichnis sein. Sie kann sich auch irgendwo anders befinden.

    also z.B. dass die .htacces in /home/roland/httpdocs/ liegt und .htpasswd in /home/roland/ => http-zugriffe können nicht auf den ordner zugreifen, indem .htpasswd liegt

    Das ist richtig.

    Wenn das stimmt, könnt ihr mir irgendwelche links zu Dokumenten geben, in denen das steht? (mit google hab ich  nix gefunden und ein Server-Techniker is andrer Meinung....

    Ich weiß, dass irgendwo hier http://de.selfhtml.org/servercgi/server/htaccess.htm drauf hingewiesen wird.

    Markus.

    --
    http://www.apostrophitis.at
    Maschiene währe Standart Gallerie vorraus Packete Objeckte tollerant vieleicht Strucktur
    Beitrag melden
    Informationen zu den Bewertungsregeln

  3. Wohin soll man .htpasswd speichern?

    Hans
    Informationen zu den Bewertungsregeln

    Hi!

    Es ist doch richtig, dass man die .htpasswd (benutzerdaten& passwort-speicherung für .htaccess) in einen ordner oberhalb des webordners legt, oder?

    Wenn Dein Apache richtig geconft ist, sollte er die Dateien mit
    nem . davor (invisible files) nicht ausliefern aber sicher ist sicher - ja

    Der User "www-data" muss aber auf das Verzeichnis leserechte haben (siehe chmod)

    also z.B. dass die .htacces in /home/roland/httpdocs/ liegt und .htpasswd in /home/roland/ => http-zugriffe können nicht auf den ordner zugreifen, indem .htpasswd liegt

    s.o. - www-data muss es lesen können

    Wenn das stimmt, könnt ihr mir irgendwelche links zu Dokumenten geben, in denen das steht? (mit google hab ich  nix gefunden und ein Server-Techniker is andrer Meinung....

    http://www.gulli.com/tools/krypto-passwort/htaccess/

    Mfg
    Hans

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Wohin soll man .htpasswd speichern?

      Christoph Schnauß Homepage des Autors
      Informationen zu den Bewertungsregeln

      hallo Hans,

      Wenn Dein Apache richtig geconft ist

      Was bedeutet "geconft" (ich finde diesen Ausdruck nicht in der Apache-Doku)?

      sollte er die Dateien mit
      nem . davor (invisible files) nicht ausliefern

      Och, da kann man noch viele andere Bedingungen einstellen.

      Der User "www-data" muss aber auf das Verzeichnis leserechte haben (siehe chmod)

      Der user "www-data" existiert per "default" nur in einer einzigen Linux-Distribution. Bist du sicher, daß du deine Aussage also derart generalisieren kannst?

      also z.B. dass die .htacces in /home/roland/httpdocs/ liegt und .htpasswd in /home/roland/ => http-zugriffe können nicht auf den ordner zugreifen, indem .htpasswd liegt
      s.o. - www-data muss es lesen können

      Und wenn es einen solchen user gar nicht gibt?

      http://www.gulli.com/tools/krypto-passwort/htaccess/

      Entschuldige, aber ich halte "gulli" trotz guter Bekanntschaft mit seinen Inhalten nicht für empfehlenswert.

      Grüße aus Berlin

      Christoph S.

      --
      Visitenkarte
      ss:| zu:) ls:& fo:) va:) sh:| rl:|
      Beitrag melden
      Informationen zu den Bewertungsregeln

    2. Wohin soll man .htpasswd speichern?

      Patrick Canterino Homepage des Autors
      Informationen zu den Bewertungsregeln

      Hallo Hans,

      http://www.gulli.com/tools/krypto-passwort/htaccess/

      Dieses Tool verwendet die ersten beiden Zeichen des Passwortes als Salt, was keine gute Idee ist, da so auf jeden Fall diese beiden Zeichen bekannt sind. OK, man kann zwar nicht sofort nachvollziehen, dass die Passwort-Datei von diesem Tool stammt, aber gut ist es trotzdem nicht.

      Gruß
      Patrick

      --
      "Nie werd' ich meine Liebe begraben, eher werd' ich dem Teufel den Schwanz abschlagen." (Joachim Witt)
      Beitrag melden
      Informationen zu den Bewertungsregeln

  4. Wohin soll man .htpasswd speichern?

    Sven Rautenberg Homepage des Autors
    +3 Informationen zu den Bewertungsregeln

    Moin!

    Es ist doch richtig, dass man die .htpasswd (benutzerdaten& passwort-speicherung für .htaccess) in einen ordner oberhalb des webordners legt, oder?

    Kann man machen, muß man aber nicht.

    also z.B. dass die .htacces in /home/roland/httpdocs/ liegt und .htpasswd in /home/roland/ => http-zugriffe können nicht auf den ordner zugreifen, indem .htpasswd liegt

    Der Sinn liegt darin, dass ein HTTP-Zugriff auf das Verzeichnis oberhalb des DOCUMENT_ROOT unter normalen Umständen nicht möglich ist (es kann natürlich noch anderweitig irgendwie trotzdem online gebracht worden sein, das ist aber nicht der Normalzustand).

    Andererseits hat jeder Apache in seiner Standardkonfiguration die Einstellung, dass jeglicher HTTP-Zugriff auf alle innerhalb des DOCUMENT_ROOT befindlichen Dateien, die mit ".ht" anfangen verboten ist.

    Damit ist im Prinzip der Schutzlevel beider Vorgehensweisen identisch: Kein Zugriff per HTTP.

    Wenn das stimmt, könnt ihr mir irgendwelche links zu Dokumenten geben, in denen das steht? (mit google hab ich  nix gefunden und ein Server-Techniker is andrer Meinung....

    Er kann zu Recht anderer Meinung sein. Die Platzierung von Dateien außerhalb des HTTP-zugriffsfähigen Bereichs ist die sicherere Methode, wenn man sich über die Konfiguration des Apache nicht sicher ist, oder diese von unbekannten Admins auch mal geändert werden könnte. Außerdem klingt die Speicherung an einem eher zentralen Ort auch sehr nach zentraler Benutzerverwaltung (wenngleich in einer .htpasswd-Datei nicht allzu viele Benutzer drinstehen sollten, da der Apache immer die gesamte Datei von vorne an durchsuchen muß, um das Passwort zu prüfen - für große Benutzermengen sollte man die Daten in einer Datenbank speichern und mod_auth_mysql o.ä. verwenden).

    Der Dateiname der Passwort-Datei darf übrigens auch komplett anders heißen. Diese beiden Faktoren (Zugriff kann verboten werden, Dateiname ist frei wählbar) erlauben dem erfahrenen Admin größere Flexibilität und dem Angreifer größere Probleme, auch wenn die Datei innerhalb des DOCUMENT_ROOT gespeichert ist.

    Ich sehe die Ansicht deines Admins also absolut nicht als tragisch an. Zumal "außerhalb des DOCUMENT_ROOT" je nach Verzeichnisstruktur ganz schön weit weg von der .htaccess sein kann. Da geht Ordnung und Zuordnungsfähigkeit dann vor 0,01% mehr Sicherheit.

    - Sven Rautenberg

    --
    "Love your nation - respect the others."
    Beitrag melden
    +3
    Informationen zu den Bewertungsregeln