Hallo!
Ich habe eine Frage, ich werde bald einen kleinen Server aufmachen, der mit Apache läuft, den ich mit htaccess sichern möchte.
In irgendeinem Forum habe ich mal gelesen, das man die daten dann trozdem mit einem Downloadmanager runterladen kann.
Stimmt das?
Ich freue mich auf Antworten!
Mfg. Xandermann
Seite 1 von 1
Ist Htaccess Eigentlich Sicher?
Anzeige
#2
geschrieben 20. März 2007 - 16:57
öhm - die htaccess datei ist ja mehr oder weniger dafür da, um servereinstellungen von ausserhalb zu machen. also jemand anderes, der seine seite auf deinem server hat, könnte da ein paar eigene konfigurationen machen. du auf deinem eigenen server kannst den doch gleich so konfigurieren, wie du es willst und mußt doch keine htaccess dazu benutzen. ansonsten so allgemein, packt man dateien, die keinen was angehen einfach oberhalb des hauptverzeichnisses hin.
Der Pessimist sagt: "Das Glas ist halb leer,"
Der Optimist sagt: "Das Glas ist halb voll."
Der Realist sagt: "Bedienung, zwei Neue!"
Der Optimist sagt: "Das Glas ist halb voll."
Der Realist sagt: "Bedienung, zwei Neue!"
#3
geschrieben 20. März 2007 - 16:58
Normalerweise nicht, sofern du bspw. eine Userauthentifikation forderst, wird der Apache das einleiten und nur bei vorhandener Session oder nach erfolgreicher Angabe der Daten den Zugriff gewähren.
#4
geschrieben 20. März 2007 - 17:22
Ich meine, man könnte doch einfach die htaccess und htpaswd runterladen und könnte das Passwort rausfinden, oder?
#5
geschrieben 20. März 2007 - 17:45
Zitat (xandermann: 20.03.2007, 17:22)
Ich meine, man könnte doch einfach die htaccess und htpaswd runterladen und könnte das Passwort rausfinden, oder?
Diese Dateien kannst du bei einem richtig konfigurierten Apache (http://httpd.apache....o/htaccess.html) nicht herunterladen. Egal ob Browser oder sonst ein Downloadmanager.
MfG Stefan
#6
geschrieben 20. März 2007 - 19:20
Zitat (xandermann: 20.03.2007, 17:22)
Ich meine, man könnte doch einfach die htaccess und htpaswd runterladen und könnte das Passwort rausfinden, oder?
Dafür ist in der httpd.conf des Apache folgende Direktive schon vorgesehen:
Zitat
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
#7
geschrieben 17. Juni 2007 - 09:50
Vielen Dank für eure Hilfe!
Hat mir sehr weitergeholfen.
Mfg.Xandermann
Hat mir sehr weitergeholfen.
Mfg.Xandermann
#8
geschrieben 17. Juni 2007 - 18:27
Zitat (xandermann: 20.03.2007, 18:22)
Ich meine, man könnte doch einfach die htaccess und htpaswd runterladen und könnte das Passwort rausfinden, oder?
Wenn du ganz schlau bist, machst du folgendes:
=> PW's/Benutzernamen via Konsole generieren lassen (sind dadurch verschlüsselt und für aussenstehende unbrauchbar)
=> regest du alles was du normalerweise in der ".htaccess" machen würdest schon in der httpd.conf also der config-Datei des Apache
Thema verteilen:
Seite 1 von 1