RootForum Community

Posted: **2006-01-24 20:14**

Hallo Leute,

ich hab hier so ein kleines Problem, welches meiner Meinung nach eigentlich nicht vorkommen sollte laut Konfiguration des Apache 2.2:

In der httpd.conf sind folgende Einstellungen für einen passwortgeschützten Bereich vorgenommen worden:

Code: Select all

...
...
<Directory "/usr/local/apache2/htdocs/download">
deny from all
Options FollowSymLinks
AllowOverride AuthConfig
Order deny,allow
</Directory>
...
...
...
<FilesMatch "^.ht">
    Order allow,deny
    Deny from all
</FilesMatch>

Die Passwortabfrage funktioniert wie gewünscht, doch wenn der eingeloggte User http://xyz/download/.htaccess aufruft,
wird ihm statt einer Forbidden Meldung die htaccess zum lesen angeboten.
Die .htaccess wurde mit chmod 644 versehen.

Unabhängig davon das die .htaccess in sichtbarer Form ein Sicherheitsrisiko darstellt, ich stehe mit diesem Server nicht im Internet, was taugt eine Passwortabfrage in dieser Form eurer Meinung nach? Wäre das einigermaßen Sicher oder ist es lediglich "Spielzeug", wenn ihr versteht was ich meine ;)
Die Passwörter werden in folgender Form generiert und in der PW-Liste abgelegt:

Username: Plaintext
Passwörter:

Code: Select all


perl -e 'print crypt("password",pack("C2",(int(rand 26)+65),(int(rand 26)+65)))."n";'

Posted: **2006-01-24 21:07**

Code: Select all

<Files ~ "^.ht">
    Order allow,deny
    Deny from all
</Files>

Die .htpasswd erstellt/erweitert man üblicherweise per:

Code: Select all

htpasswd [-c] passwordfile username password

Posted: **2006-01-25 12:41**

Ah, verstehe. Vielen Dank für deine schnelle Antwort. Hatte das bislang über eine .htaccess/.htpasswd getestet und mit chmod 644 versehen.

RootForum Community

htaccess kann aufgerufen werden...

htaccess kann aufgerufen werden...

Re: htaccess kann aufgerufen werden...

Re: htaccess kann aufgerufen werden...