Verzeichnis mit Benutzernamen & Passwort schützen

Gelöst

@Ingo

 

Hallo Ingo,

Du hattest mir den Link zum Artikel "Verzeichnis mit Benutzernamen & Passwort schützen" zugesandt. Das Verfahren mit dem Apache-Modul WWW-Authenticate hatte ich vor Jahren schon einmal in einer anderen Umgebung gewandt und ist mit prinzipiell bekannt.

https://homepagecenter.telekom.de/index.php?id=649&no_cache=1&sword_list%5B%5D=Passwortschutz

 

Das Schutz funktioniert prima. Jetzt komme ich aber selber über die Webseite nicht mehr an die Daten.

Upstream server failed

Also habe ich da etwas falsch gemacht.

 

Ich arbeite mit dem Login - Modul. Zum Einloggen wird eine E-Mail-Adresse und ein Passwort verlangt.
In der Nutzerverwaltung des HPC habe ich User die mit Vorname, Name, E-Mail-Adresse und Gruppe eingetragen sind.

 

Vorname und Name sind so wie ich das sehe rein informell ohne Bezug zu einer Indentität. Die E-Mail-Adresse muß eindeutig sein. Hierüber kann der User sein eigenes Passwort beim ersten Login vergeben, dass dann hinterher dem admin allerdings nicht bekannt ist.

 

Nur die Gruppe ist dem admin bekannt. Im Homepage Center habe ich unter Benutzerverwaltung nur den admin. Erst unter den E-Mail stoße ich auf einen Benutzernamen "Mitglied".  Die Gruppe "Mitglied" ist wiederum in der HPC-Nutzerverwaltung den Login-Usern zugeordnet worden.

 

Wenn ich jetzt den Benutzernamen "Mitglied" in der E-Mail Postfachverwaltung des Homepage Center zu Bearbeitung öffne, sehe ich für den Benutzer Mitglied zwei Passwörter die von mir auch eingerichtet worden waren, "Passwort (Web-Kennwort)" und "E-Mail-Passwort".

 

Was für einen Eintrag braucht jetzt die "passwortdatei.txt "?

 

Der User dürfte "Mitglied" sein. Aber welches Passwort ist es denn? "Passwort (Web-Kennwort)" oder "E-Mail-Passwort"?

Oder liege ich ganz falsch?

 

Zusatz: Ich habe die komplette Homepage geschützt, <Directory /home/www/public_html/> 

mfg Klaus

 

 

 

1 AKZEPTIERTE LÖSUNG
Lösung
Telekom hilft Team
@KlaRaw

Hallo Klaus,

ja, .htaccess läuft noch etwas anders, um dies zu aktivieren, wird in der httpd.conf nur eine Anpassung vorgenommen, sodass .htaccess-Dateien vom Server berücksichtigt werden. Siehe dazu den Artikel unter https://homepagecenter.telekom.de/index.php?id=690.

Wir raten dazu, den Passwortschutz direkt über die httpd.conf zu realisieren wie unter https://homepagecenter.telekom.de/index.php?id=649&no_cache=1&sword_list%5B%5D=Passwortschutz beschrieben.

Ohne Aufwand ist dies so nicht möglich, die Ordner- und Dateinamen müssen ja bekannt sein. Bei gängigen Anwendungen kann man es mit den Standardpfaden schon recht weit bringen, aber es bleibt ansonsten ein Ratespiel.

Die Dateinamen zu ändern, nachdem Du diese in der Community gepostet hast, ist schon ein guter Ansatz.

Gruß,
Ingo F.

Lösung in ursprünglichem Beitrag anzeigen  

Gelöschter Nutzer

Hallo @KlaRaw,

das Login und die im Homepage Center hinterlegten Passwörter haben mit dem "Authenticate" nichts zu tun.

MfG. Bernd

@Gelöschter Nutzer

 

Hallo Bernd,

das habe ich auch schon vermutet, da der User beim Login-Modul letztlich sein Passwort selber vergibt und es der Homepage zu Identifikation so nicht hilfreich ist. Der einzige Weg, den ich sehe, wäre die eindeutige E-Mailadresse und die Zuordnung des Users zu einer Gruppe. Und dafür legt der Admin ein Passwort an.

Aber wie ich schon anführte, die Anleitung zum Schutz ist aus Sicht des Severs beschrieben. Auf dieser Ebene ist mir Username und Passwort klar, aber dazwischen ist ja der HPC, der in seiner gekapselten Welt die Sache eben etwas anders darstellt.

mfg Klaus

 

Telekom hilft Team
@KlaRaw

Hallo Klaus,

ich wollte Dich mit meiner Nachricht in erster Linie darauf aufmerksam machen, dass die Seiten zwar beim Aufruf über den Homepage Creator geschützt sind, die Dateien selber aber ohne Zugriffsschutz auf einem frei zugänglichen Teil Deines Webspaces liegen.
Die Kombination zwischen dem Passwortschutz per .htaccess und dem Passwortschutz des Creators klappt hier so nicht.

Ich habe das schon letzte Woche bei meinen Kollegen angesprochen und werde da jetzt noch einmal eine offizielle Anfrage per Ticket stellen, wie dies im Creator realisiert werden kann, bzw. zukünftig dann im Designer.

@Gelöschter Nutzer oder hast Du für diesen speziellen Fall eine Lösung parat oder vielleicht eine Idee?

Gruß,
Ingo F.

@Ingo F., @Gelöschter Nutzer

 

Hallo Ingo,

jetzt antworte ich hier jetzt weiter.

 

 

Die Kombination zwischen dem Passwortschutz per .htaccess und 
dem Passwortschutz des Creators klappt hier so nicht.

Es ist hier in der Beschreibung des Verfahren im Artikel nur die httpd.conf und eine passwortdatei.txt beteiligt. Ich dachte .htaccess lief etwas anders und wäre nicht ganz sicher. Übrigens, in dem Artikel wird der Link zum Passwortgenerator noch über http und nicht https abgewickelt. Man kann aber einfach ihn auch über https ausführen lassen.

 

Frage, kann ein Aussenstehender den Inhalt der Homepageverzeichnisse auslesen, also z.B. die Namen der PHP-Dateien ermitteln?

Ich könnte sonst die ja jetzt bekannten Namen abändern, wenn es hilfreich ist. Der Schutz ist zur Zeit noch aktiv und erzeugt besagte Fehlermeldung.

mfg Klaus

 

 

 

 

 

Lösung
Telekom hilft Team
@KlaRaw

Hallo Klaus,

ja, .htaccess läuft noch etwas anders, um dies zu aktivieren, wird in der httpd.conf nur eine Anpassung vorgenommen, sodass .htaccess-Dateien vom Server berücksichtigt werden. Siehe dazu den Artikel unter https://homepagecenter.telekom.de/index.php?id=690.

Wir raten dazu, den Passwortschutz direkt über die httpd.conf zu realisieren wie unter https://homepagecenter.telekom.de/index.php?id=649&no_cache=1&sword_list%5B%5D=Passwortschutz beschrieben.

Ohne Aufwand ist dies so nicht möglich, die Ordner- und Dateinamen müssen ja bekannt sein. Bei gängigen Anwendungen kann man es mit den Standardpfaden schon recht weit bringen, aber es bleibt ansonsten ein Ratespiel.

Die Dateinamen zu ändern, nachdem Du diese in der Community gepostet hast, ist schon ein guter Ansatz.

Gruß,
Ingo F.

@Ingo F., @Gelöschter Nutzer

 

Hallo Ingo,

sind schon umbenannt.  Solange man die Verzeichnisse nicht auslesen kann ist eine gewisse Sicherheit ja gegeben.

Danke für die Bemühungen.

mfg Klaus

Telekom hilft Team
@KlaRaw

Hallo Klaus,

wir haben eine Antwort zu dem Ticket bekommen, der Kollege hat zwei Optionen zurückgemeldet.

Option a) Nicht den Passwortschutz des Creators verwenden, sondern das Verzeichnis per httpd.conf schützen. Dann kommt auch auf der Homepage vom Designer die Abfrage von Benutzername & Passwort.

Option b) Das PHP-Skript so umschreiben, dass das Skript nur ausgeführt wird, wenn die Anfrage vom Referer homepagedesigner-hosting.de kommt.

Die Umsetzung bei Option b liegt aber natürlich nicht in unserer Hand. Dies ist ein Gedankengang, einen PHP-Code können wir nicht dafür schreiben.

Ich hoffe, dies hilft ein wenig weiter.

Viele Grüße Nadine H.

@Nadine H.

Option a) könnte genau das sein was ich eigentlich immer suchte. Muss ich die Tage mal testen.

Danke!

mfg Klaus

Telekom hilft Team
@KlaRaw

Das wäre ja schön. Halte uns gerne auf dem Laufenden, wenn du es getestet hast.

Viele Grüße Nadine H.