htaccess Einführung

**hansi** · 02.01.2003, 21:55

guck mal bei bananajoe

**is_real** · 02.01.2003, 22:31

DANKE!

Kann ich aber irgendwie verhindern das in einen bestimmten Verzeichnis z.B. jpgs und gifs nicht aufgelistet werden??!? oder zum Beispiel das php-includes mit einer bestimmten Endung (.inc) nicht aufgelistet werden, jedoch "included" werden können??!?

Ich hoffe irgend jemand kann mir folgen

**pekka** · 03.01.2003, 10:32

Jau, das geht mit "IndexIgnore *.inc *.jpg"

**hand** · 03.01.2003, 11:47

.htaccess dient eigentlich dazu, die über die httpd.conf definierten globalen Parameter/Einstellungen zu übersteuern. Am Häufigsten wird .htaccess sicher zur Authentifizierung eingesetzt. Es könnten aber auch der Directory-Index oder AddType Parameter übersteuert werden. Alle in der .htaccess angegebenen Werte gelten für das Verzeichnis in dem es sich befindet und alle seine Unterverzeichnisse. Wenn ein Authentifizierungs .htaccess im Directory ...\htdocs\kau liegt sind automatisch seine Unterverzeichnisse wie ...\htdocs\kau\gummi mitgeschützt. Wird direkt ein File in ...\htdocs\kau\gummi aufgerufen wird für dieses die Authentifizierung verlangt.

Beschreibung für WAMP

1. Schritt - In httpd.conf setze den AllowOverride auf All oder AuthConfig

Code:

# This controls which options the .htaccess files in directories can
# override. Can also be "All", or any combination of "Options", "FileInfo", 
# "AuthConfig", and "Limit"
#
    AllowOverride AuthConfig

2. Schritt - Definition des .htaccess-Filenamen.
Ich habe in diesem Sample den Namen auf ".htzugriff" gesetzt. Per Default lautet er .htaccess. Der "." vor dem Filenamen
dient dazu das File unter Linux (Unix) im Filesystem auf auf hidden zu setzen. Ich schlage vor aus Gründen der Security einen ganz anderen Namen zu verwenden, denn Cracker, die u.U. in das System eindringen suchen nach .htaccess Files. Ist aber nur ein schwacher Schutz, da man ja auch nach Inhalten suchen kann, aber besser als gar nichts ist es.

Code:

#
# AccessFileName: The name of the file to look for in each directory
# for access control information.
#
AccessFileName .htzugriff

3. Schritt - Apache durchstarten, damit o.a. http.conf Parameter aktiviert werden

4. Schritt - Userid/Passwort-Datei anlegen
Aus Gründen der Sicherheit ist dieses File außerhalb des WebRoot-Verzeichnisses abzulegen, damit dieses nicht über einen Browserzugriff kompromitiert werden kann. Benutzerkennung und Password werden durch ":" getrennt. Passwort kann auch verschlüsselt sein. Ich schlage als Speicherort und Namen c:\null.txt vor.

Code:

wotan:accept
hand:geheim

5. Schritt - Erstellen des .htaccess-Files zu Authentifizierungsübersteuerung
Fileinhalt von File: ".htzugriff"

Code:

AuthType Basic
AuthUserFile c:/null.txt
AuthName "special directory"
Require valid-user

Hier wird also Ort und Namen des Passwort-File definiert.

6. Schritt - .htaccess-File in gewünschtes zu schützendes Directory ablegen, in unserem Fall ".htzugriff"

7. Schritt - Testen. Ein File aus dem nun geschützen Direcory über Browser aufrufen. Nun müßte der Login-Prompt erscheinen

In der Zeit in der ich dies jetzt geschrieben habe ist ein .htaccess Schutz schon längst eingerichtet. *g*

**is_real** · 04.01.2003, 23:08

DANKE

erstmals Danke das ihr mir geholfen habt!

Das was ich aber eigentlich erreichen wollte habe ich nicht geschafft und zwar hab ich hier im Forum gesucht ob jemand etwas ähnliches wissen wollte und da hab ich das gefunden:
htaccess

Nur Leider, hat der nie eine Antwort bekommen, deshalb probier ich es nochmal!

Geht das oder nicht???

Bin für jede Hilfe dankbar!

**pekka** · 05.01.2003, 11:04

Antwort im genannten Thread. http://php-resource.de/forum/showthr...%2Ahtaccess%2A

**is_real** · 05.01.2003, 13:32

SPITZE!!!!

Funzt wunderbar!!!! -> DANKE

**hand** · 05.01.2003, 15:39

Auch eine Methode ist folgende:
Durch die httpd.conf - Direktive

Code:

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

wird verhindert, dass Files die mit .ht beginnen, also .htaccess oder .htpasswd über den Browser aufgerufen werden können.

Wenn man sich diesen Mechanismus zu Nutze macht erreicht man dasselbe wenn man den Aufruf von Files, deren Namen mit .txt enden, durch folgende Definition

Code:

<Files ~ "\.txt$">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Das Ergebnis:

Code:

Forbidden
You don't have permission to access /test/xxx.txt on this server.

Ich glaube die Order und Deny Anweisungen müssen hier nicht extra erklärt werden. Man könnte hier definieren, dass diese Files sehr wohl aber über localhost oder eine andere spezifische IP-Adresse aufgerufen werden könnten. (Allow from localhost)

htaccess Einführung