Gelöst
Verzeichnis mit Benutzernamen & Passwort schützen
vor 6 Jahren
Hallo Ingo,
Du hattest mir den Link zum Artikel "Verzeichnis mit Benutzernamen & Passwort schützen" zugesandt. Das Verfahren mit dem Apache-Modul WWW-Authenticate hatte ich vor Jahren schon einmal in einer anderen Umgebung gewandt und ist mit prinzipiell bekannt.
https://homepagecenter.telekom.de/index.php?id=649&no_cache=1&sword_list%5B%5D=Passwortschutz
Das Schutz funktioniert prima. Jetzt komme ich aber selber über die Webseite nicht mehr an die Daten.
Upstream server failed
Also habe ich da etwas falsch gemacht.
Ich arbeite mit dem Login - Modul. Zum Einloggen wird eine E-Mail-Adresse und ein Passwort verlangt.
In der Nutzerverwaltung des HPC habe ich User die mit Vorname, Name, E-Mail-Adresse und Gruppe eingetragen sind.
Vorname und Name sind so wie ich das sehe rein informell ohne Bezug zu einer Indentität. Die E-Mail-Adresse muß eindeutig sein. Hierüber kann der User sein eigenes Passwort beim ersten Login vergeben, dass dann hinterher dem admin allerdings nicht bekannt ist.
Nur die Gruppe ist dem admin bekannt. Im Homepage Center habe ich unter Benutzerverwaltung nur den admin. Erst unter den E-Mail stoße ich auf einen Benutzernamen "Mitglied". Die Gruppe "Mitglied" ist wiederum in der HPC-Nutzerverwaltung den Login-Usern zugeordnet worden.
Wenn ich jetzt den Benutzernamen "Mitglied" in der E-Mail Postfachverwaltung des Homepage Center zu Bearbeitung öffne, sehe ich für den Benutzer Mitglied zwei Passwörter die von mir auch eingerichtet worden waren, "Passwort (Web-Kennwort)" und "E-Mail-Passwort".
Was für einen Eintrag braucht jetzt die "passwortdatei.txt "?
Der User dürfte "Mitglied" sein. Aber welches Passwort ist es denn? "Passwort (Web-Kennwort)" oder "E-Mail-Passwort"?
Oder liege ich ganz falsch?
Zusatz: Ich habe die komplette Homepage geschützt, <Directory /home/www/public_html/>
mfg Klaus
852
10
Das könnte Ihnen auch weiterhelfen
34
0
3
vor 6 Monaten
in
149
0
4
vor 9 Jahren
51676
2
7
vor 6 Jahren
Hallo @KlaRaw,
das Login und die im Homepage Center hinterlegten Passwörter haben mit dem "Authenticate" nichts zu tun.
MfG. Bernd
1
Antwort
von
vor 6 Jahren
@Gelöschter Nutzer
Hallo Bernd,
das habe ich auch schon vermutet, da der User beim Login-Modul letztlich sein Passwort selber vergibt und es der Homepage zu Identifikation so nicht hilfreich ist. Der einzige Weg, den ich sehe, wäre die eindeutige E-Mailadresse und die Zuordnung des Users zu einer Gruppe. Und dafür legt der Admin ein Passwort an.
Aber wie ich schon anführte, die Anleitung zum Schutz ist aus Sicht des Severs beschrieben. Auf dieser Ebene ist mir Username und Passwort klar, aber dazwischen ist ja der HPC, der in seiner gekapselten Welt die Sache eben etwas anders darstellt.
mfg Klaus
Uneingeloggter Nutzer
Antwort
von
vor 6 Jahren
Hallo Klaus,
ich wollte Dich mit meiner Nachricht in erster Linie darauf aufmerksam machen, dass die Seiten zwar beim Aufruf über den Homepage Creator geschützt sind, die Dateien selber aber ohne Zugriffsschutz auf einem frei zugänglichen Teil Deines Webspaces liegen.
Die Kombination zwischen dem Passwortschutz per .htaccess und dem Passwortschutz des Creators klappt hier so nicht.
Ich habe das schon letzte Woche bei meinen Kollegen angesprochen und werde da jetzt noch einmal eine offizielle Anfrage per Ticket stellen, wie dies im Creator realisiert werden kann, bzw. zukünftig dann im Designer.
@Gelöschter Nutzer oder hast Du für diesen speziellen Fall eine Lösung parat oder vielleicht eine Idee?
Gruß,
Ingo F.
3
Antwort
von
vor 6 Jahren
@Ingo F., @Gelöschter Nutzer
Hallo Ingo,
jetzt antworte ich hier jetzt weiter.
Es ist hier in der Beschreibung des Verfahren im Artikel nur die httpd.conf und eine passwortdatei.txt beteiligt. Ich dachte .htaccess lief etwas anders und wäre nicht ganz sicher. Übrigens, in dem Artikel wird der Link zum Passwortgenerator noch über http und nicht https abgewickelt. Man kann aber einfach ihn auch über https ausführen lassen.
Frage, kann ein Aussenstehender den Inhalt der Homepageverzeichnisse auslesen, also z.B. die Namen der PHP-Dateien ermitteln?
Ich könnte sonst die ja jetzt bekannten Namen abändern, wenn es hilfreich ist. Der Schutz ist zur Zeit noch aktiv und erzeugt besagte Fehlermeldung.
mfg Klaus
Antwort
von
vor 6 Jahren
Hallo Klaus,
ja, .htaccess läuft noch etwas anders, um dies zu aktivieren, wird in der httpd.conf nur eine Anpassung vorgenommen, sodass .htaccess-Dateien vom Server berücksichtigt werden. Siehe dazu den Artikel unter https://homepagecenter.telekom.de/index.php?id=690.
Wir raten dazu, den Passwortschutz direkt über die httpd.conf zu realisieren wie unter https://homepagecenter.telekom.de/index.php?id=649&no_cache=1&sword_list%5B%5D=Passwortschutz beschrieben.
Ohne Aufwand ist dies so nicht möglich, die Ordner- und Dateinamen müssen ja bekannt sein. Bei gängigen Anwendungen kann man es mit den Standardpfaden schon recht weit bringen, aber es bleibt ansonsten ein Ratespiel.
Die Dateinamen zu ändern, nachdem Du diese in der Community gepostet hast, ist schon ein guter Ansatz.
Gruß,
Ingo F.
Antwort
von
vor 6 Jahren
@Ingo F., @Gelöschter Nutzer
Hallo Ingo,
sind schon umbenannt. Solange man die Verzeichnisse nicht auslesen kann ist eine gewisse Sicherheit ja gegeben.
Danke für die Bemühungen.
mfg Klaus
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 6 Jahren
Hallo Klaus,
ja, .htaccess läuft noch etwas anders, um dies zu aktivieren, wird in der httpd.conf nur eine Anpassung vorgenommen, sodass .htaccess-Dateien vom Server berücksichtigt werden. Siehe dazu den Artikel unter https://homepagecenter.telekom.de/index.php?id=690.
Wir raten dazu, den Passwortschutz direkt über die httpd.conf zu realisieren wie unter https://homepagecenter.telekom.de/index.php?id=649&no_cache=1&sword_list%5B%5D=Passwortschutz beschrieben.
Ohne Aufwand ist dies so nicht möglich, die Ordner- und Dateinamen müssen ja bekannt sein. Bei gängigen Anwendungen kann man es mit den Standardpfaden schon recht weit bringen, aber es bleibt ansonsten ein Ratespiel.
Die Dateinamen zu ändern, nachdem Du diese in der Community gepostet hast, ist schon ein guter Ansatz.
Gruß,
Ingo F.
0
vor 6 Jahren
Hallo Klaus,
wir haben eine Antwort zu dem Ticket bekommen, der Kollege hat zwei Optionen zurückgemeldet.
Option a) Nicht den Passwortschutz des Creators verwenden, sondern das Verzeichnis per httpd.conf schützen. Dann kommt auch auf der Homepage vom Designer die Abfrage von Benutzername & Passwort.
Option b) Das PHP-Skript so umschreiben, dass das Skript nur ausgeführt wird, wenn die Anfrage vom Referer homepagedesigner-hosting.de kommt.
Die Umsetzung bei Option b liegt aber natürlich nicht in unserer Hand. Dies ist ein Gedankengang, einen PHP-Code können wir nicht dafür schreiben.
Ich hoffe, dies hilft ein wenig weiter.
Viele Grüße Nadine H.
2
Antwort
von
vor 6 Jahren
@Nadine H.
Option a) könnte genau das sein was ich eigentlich immer suchte. Muss ich die Tage mal testen.
Danke!
mfg Klaus
Antwort
von
vor 6 Jahren
Das wäre ja schön. Halte uns gerne auf dem Laufenden, wenn du es getestet hast.
Viele Grüße Nadine H.
Uneingeloggter Nutzer
Antwort
von
Uneingeloggter Nutzer
Frage
von