Hi Leute
kennt einer von euch ne gute Mögichkeit, nen bestimmten Bereich auf der Homepage durch ein Passwort zu schützten? Mit gut ich nicht die JAVAvariante gemeint, wo ich nur in den Quelltext schaun muss um zack kenn ich das PW. Es sollte schon sicher sein aber auch kein Programm bei dem man die komlette Seite über nen Server leiten muss.
Kennt einer was, was gut ist?

Thx und Gruß Alf

Moin!

.htaccess und .htpasswd an die files kommt keiner.
Da würde höchstens nen bruteforce usw. helfen.
Abgesehen davon unterstützt das der server eigentlich Standardmässig.

Argg, hab ich schon versucht, bekomms blos nicht hin. Keine Ahnung warum, habs exakt so gemacht wie auf http://www.bingo-ev.de/~ub304/htaccess.htm beschrieben. Aber wenn ich jetzt in meinen geschützten Bereich rein will komm ich rein, ohne dass eine PW-Abfrage stattfindet...

Das kann an der Httpd.conf liegen. Das Problem hatte ich auch mit meinen Homeserver. Du musst ein paar Werte ändern.

Falls Sie die Standard httpd.conf benutzen, die beim Apache dabei war, müssen Sie noch eine Änderung vornehmen, damit die .htaccess-Dateien überhaupt berücksichtigt werden. Ersetzen Sie AllowOverride None überall in der Konfigurationsdatei durch AllowOverride All.

Info (http://www.netzadmin.org/server/apache/apache-htaccess.htm)



:sofa:

Wenn der Server PHP unterstützt könnte man sich da auch noch was zusammenbasteln.

Hm da gibts folgendes Problem: ich hab gar keinen Apache-Server, benutzt den ganz normalen 1und1 Webspace. Kann auch sein, dass ich mal wieder nix check, aber ihr wisst doch:
Noob@Work :D

Na ein Apache wird da bestimmt schon hinterstecken. Aber konfigurieren können wirst
du da nix. Du kannst dich ja mal in das 1&1 Control-Center einloggen und da deinen
Webspace knfigurieren. Ich meine da konnte man dann auch Verzeichnisse mit nem PW
schützen.

htaccess Generator für php (http://cms.domainfactory.de/Downloads.438.0.html)

Passwortgenerator für md5 (http://www.pwgen.de/)

Anleitung für 1&1 (http://www.oraab.de/)

noch eine gute Anleitung (http://www.planethtml.de/html/104.shtml)

und noch eine (http://www.yubb.de/artikel357.html)

Meine .htaccess sieht so aus

.htaccess
AuthType Basic
AuthName "Password Required"
AuthUserFile ./htdocs/geschützter Ordner/.htpasswd
require valid-user


Die .htpasswd liegt dann im selben Ordner (ich weiß, das ist ein Sicherheitsloch) sieht dann so aus.

.htpasswd
Benutzername:Passwort

Moment ich brauch den "limit"-Tag gar nicht?

Okay ich glaub ich hab meinen Fehler: Die Datein sind als .txt abgelegt. Aber wie bekomm ich das hin. Wenn ich auf speichern unter geh und dann .htaccess eingeb, hängt er den .txt-Tag einfach an...

Dateinamenerweiterung bei bekannten Typen ausblenden ausschalten.
Wenns dann nicht geht den Dateinamen in Anführungsstrichen eingeben.

1&1 Bietet im Kundenmenu meines wissens eine Funktion wo man einfach sein Verzeichniss auswählt und schützen kann, dann steht das Passwort auch Apache konform in der .htpasswd und liegt ausserhalb des Webordners.

Die Dateien haben keine Endung.
Du erstellst sie mit einem Editor und speicherst sie dann ohne Endung ab, d.h. sie heissen nur .htaccess und .htpasswd .




:sofa:

Pini hat recht, hab den Bereich gefunden, in 30 Minuten ist das PW eingerichtet.
Zu .htaccess ist zu sagen: Das is zwar ne coole Sache, habs am Ende auch hinbekomme, aber es kam dann immer der Fehler: Interner Serverfehler, beim angegebenen Script ist ein Fehler aufgetreten.
Naja jetzt hab ich 1und1PW. Dank für die Hilfe und Mühe ;)

Edit im Dialog Speichern unter "alle Dateien" bei Dateityp anwaehlen. Dann wirste auch keine txt Datei erzeugen. :)

Echt, ich dachte ich hatte das probiert, ging aber nicht. Tsahls Methode mit den "" geht aber auch gut. Danke trotzdem

Wenns hart auf hart kommt, eine PHP mit ca. 10 Zeilen macht ungefähr das selbe :)

1&1 machen das übrigens auch mit Access, allerdings speichern die die pwDatei in einem Ordner den nichtmal ich kenn ^^

höchstwahrscheinlich in /etc/apache/ Aus sicherheitstechnischen Gründen ist das besser da die Passwörter mit entsprechenden Rainbowtables schnell geknackt sind. Ein Bruteforce zu machen ist fast eine unmögliche Sache wenn man ein gutes PW hat und dem Angreifer nur der Loginname bekannt ist. Aber die idiotischen Kiddies wissen das natürlich nicht.

Dem Angreifer ist nichmal der Loginname bekannt, den hab ich per Mail und im internen Teil des Forums an meine Leute verteilt. Also fast unmöglich da ranzukommen...

Früher gab es mal möglichkeiten die .htaccess aufzurufen, hat sich aber zum Glück geändert. Aber wer weiß, vielleicht gibts es doch noch eine möglichkeit und ich sags jetzt nur net *fg* Ok, Stichwort XSS ;)

Ich habs chon gelesen, dass es da ne Möglichkeit gibt ;)