.htaccess machts kompliziert
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
abgesicherten ordner
all
apache
aufruf
bevorzugen
beziehungsweise order
code
datum
funktion
holen
http
kleine frage
leute
ordern
server
speziellen url
url
weben
weglassen
zugriff
-
Hallo Leute
Edit3: Jetzt habe ich aber trotzdem noch eine kleine Frage: Die "include()"-Funktion von PHP greift durch .htaccess hindurch und kann sogar Daten holen, die absolut gesperrt sind für jede IP.
Warum ist das so? Ist das eine Sicherheitslücke?
mfg
misc
__________________________________________________________
Heute habe ich .htaccess getestet.
Was ich will: Einen abgesicherten Ordner den man vom localhost (misc.lima-city.de) aber nicht von aussen öffnen kann.
Dabei soll lima-city nicht nach einem Passwort gefragt werden und
Allen anderen IPs den Zugriff komplett verweigert werden.
Das Problem: Ich kann eine einzelne IP so bevorzugen dass sie nur das Passwort eingeben muss und aussenstehende geblockt werden. Ich kann aber die Passwortabfrage nicht ausschalten.
.htaccess ist unglaublich umständlich, das allow und deny, beziehungsweise order ist vollkommen unlogisch aufgebaut und ist nirgends ausreichend dokumentiert. Will ich einen Aufruf komplett ohne Passwortabfrage muss ich die Seite weder im allow noch im deny aufführen. Das geht aber nicht da man standardmässig "deny all" braucht um aussenstehende abzuweisen.
mfg
misc
EDIT:
Hier noch meine .htaccess file.
# .htaccess-Datei für Web-Verzeichnis /protected/
AuthType Basic
AuthName "Administrationsbereich"
AuthUserfile /home/webpages/lima-city/misc/html/protected/.htusers
Require valid-user
Order deny,allow
#mutual-failure
Deny from all
Allow from 188.60.193.98
Satisfy any
So kann die aufgeführte IP ohne Passwort zugreifen, jemand anderes jedoch wird nach dem Passwort gefragt. Das will ich nicht. Ich will dass alles das nicht diese IP hat vollkommen geblockt wird.
EDIT2: Ah, immer wenn man nach Hilfe fragt kommt man selbst auf die Lösung. Sorry, Leute - Ausklammern (#) der Zeile Require valid-user hat geholfen. Manchmal ist die Lösung ganz nah und doch so fern^^.
Beitrag zuletzt geändert: 6.2.2011 1:12:05 von misc -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Die Apache Konfigurationsdirektiven sind weder umständlich noch kompliziert. Auch sind sie sehr genau dokumentiert, wie die Artikel über die Zugriffskontrolle und .htaccess-Datein zeigen. SelfHTML bietet beispielsweise auch eine deutschsprachige Einführung in die Verwendung von .htaccess und die Zugriffskontolle im speziellen.
Dein Wunsch lässt sich viel einfacher erfüllen, wie du denkst: wenn du nicht willst, dass nach dem Passwort gefragt wird, dann solltest du auch keine Auth*-Direktiven verwenden.
Was ist daran jetzt kompliziert?Order Deny,Allow Deny from All Allow from 188.60.193.98
Jetzt habe ich aber trotzdem noch eine kleine Frage: Die "include()"-Funktion von PHP greift durch .htaccess hindurch und kann sogar Daten holen, die absolut gesperrt sind für jede IP.
Wird include vom selben Server aus aufgerufen, umgeht das natürlich die Zugriffskontrolle, da diese nur für die HTTP-Zugriffe von außen gelten. Wird versucht, mittels include von einem anderen Server aus zuzugreifen, sollte das nicht möglich sein.
Warum ist das so? Ist das eine Sicherheitslücke? -
Ah, man kann das Auth ganz weglassen? Wär noch schön wenn man das in den Tutorials erwähnen würde :D
Naja ich habs ja mit selbst herumpröbeln auch rausgefunden, mehr oder weniger. Ich hätte aber nur das "Require valid-user" gelöscht.
Und das mit include macht Sinn, ist ja wirklich kein HTTP Aufruf. Bleibt ja alles lokal beim Server.
Vielen Dank.
Beitrag zuletzt geändert: 6.2.2011 10:56:14 von misc -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
