Dr. Web Team 25. Januar 2007

Verzeichnisse schützen

Kein Beitragsbild

Etwa 60% aller Web-Server laufen mit der freien Software Apache. Gar nicht unwahrscheinlich also, dass auch Sie ein solches System zur Verfügung haben. In so einem Falle lässt sich recht einfach ein ausreichend sicherer Schutz für bestimmte Bereiche oder Seiten anlegen.

Passwortabfrage
Legen Sie eine Text-Datei mit der Bezeichnung .htaccess an. Der Punkt ist wichtig, eine Dateiendung gibt es hier nicht. Schreiben Sie folgende Zeilen hinein:

 AuthUserFile
/pfad zum /.htpasswd 
 AuthName kunden
 AuthType Basic 
 <Limit GET>

 require user xxx
 </Limit>

Die erste Zeile gibt den Pfad zur Passwortdatei an. Diese erzeugen wir im zweiten Schritt. Legen Sie dazu eine zweite Text-Datei mit der Bezeichnung .htpasswd an. Das Passwort selbst muss zuvor generiert werden. Dazu dient der Befehl Crypt. Das allerdings ist ein wenig kompliziert und erfordert Telnet oder einen direkten Zugriff auf den Server. Sie können sich stattdessen eines freien Passwortgenerators bedienen. Davon gibt es mehrere im Web.

Der Inhalt der Datei sähe dann vielleicht so aus:

      x102u:ghd3htd5skl

Laden Sie anschließend die Datei in das zu schützende Verzeichnis auf den Server. Der Transfer muss im ASCII-Modus erfolgen. Mehr ist nicht zu tun. Wer auf das so präparierte Verzeichnis zugreifen möchte, muss sich zuvor mit Username und Passwort ausweisen. Das Abfragefenster wird vom Browser generiert.

Eine solche .htaccess Datei könnte dann so aussehen:

      AuthUserFile
/u/web/flashu/stats/.htpasswd
 AuthGroupFile /dev/null
 AuthName Protected
Area
 AuthType Basic
      <Limit GET>
 require user
x102u
 </Limit>

Es kann passieren, dass die Sache aller Mühe zum Trotze nicht funktioniert. Dann hat vielleicht Ihr Provider die Möglichkeit des Anlegens von .htacess-Dateien auf dem Server unterbunden. Fragen Sie ihn danach.

Weitere Informationen (zum Beispiel zum Anlegen mehrerer Benutzer, Sperren von IP-Nummern etc…) erhalten Sie bei Apache Week.

Dr. Webs exklusiver Newsletter
Hinweise zum Datenschutz, also dem Einsatz von Double-Opt-In, der Protokollierung der Anmeldung, der Erfolgsmessung, dem Einsatz von MailChimp als Versanddienstleister und deinen Widerrufsrechten findest du in unseren Datenschutzhinweisen.

3 Kommentare

  1. Die Datei in einen geschützen oder über das Web nicht erreichbaren Ordner legen.
    1. Möglichkeit
    Du kannst die Datei mit php öffnen und direkt an den Browser ausgeben
    header(‚Content-Type: image/jpeg‘);
    fopen…
    fpassthru…
    fclose…
    siehe: http://php.net/manual/de/function.fpassthru.php

    2. (unter linux) einen Filesystemlink auf die Datei erstellen mit einem zufälligen namen und auf diesen Verweisen. und per cronjob löschen.

    gruß Keywan

  2. Hallo,

    ich habe hierzu indirekt eine Frage:
    Ich habe auf meiner Website eine passwort-geschützte Seite.
    Der Login erfolgt über ein einfaches Formular (PHP), das prüft, ob der User bzw. das Passwort in meiner Datenbank (MySQL) vorhanden ist.

    Ich möchte nun auf dieser geschützten Seite (der Benutzer ist also eingeloggt) eine Datei zum Download anbieten, die in einem geschützen Verzeichnis liegt. (z.B. http://www.domain.de/download/topsecret.pdf) Ich möchte natürlich nicht, dass jemand den Dateipfad, also „www.domain.de/download/topsecret.pdf“ in seinem Browser eingibt und dann die Datei herunterladen kann. Der Download soll ausschließlich nach Login von meiner geschützten Seite möglich sein.
    Wie kann ich (per PHP) auf ein solches Verzeichnis zugreifen?

    Danke!
    Niko

    • Falls es noch nicht gelöst ist oder es noch jmd interessiert…

      überprüfe die session mittels cookie und wenn der user nicht eingeloggt ist dann hat er keinen zugriff…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kennst du schon unseren Newsletter?

Hinweise zum Datenschutz, also dem Einsatz von Double-Opt-In, der Protokollierung der Anmeldung, der Erfolgsmessung, dem Einsatz von MailChimp als Versanddienstleister und deinen Widerrufsrechten findest du in unseren Datenschutzhinweisen.

Cookies

Weitere Informationen zu den Auswahlmöglichkeiten findest du hier. Dazu musst du zunächst keine Auswahl treffen!

Um Dr. Web zu besuchen, musst du eine Auswahl treffen.

Deine Auswahl wurde gespeichert!

Informationen zu den Auswahlmöglichkeiten

Was du erlaubst!

Um fortfahren zu können, musst du eine Auswahl treffen. Nachfolgend erhältst du eine Erläuterung der verschiedenen Optionen und ihrer Bedeutung.

  • Ich stimme zu:
    Du erlaubst uns das Setzen aller Cookies, die wir in unseren Datenschutzhinweisen genannt haben. Dazu gehören Tracking- und Statistik-Cookies. Aus dem Tracking per Google Analytics bieten wir auf der Seite Datenschutz ein Opt-Out, also die Möglichkeit der Abmeldung, an.
  • Ich stimme nicht zu:
    Wir verzichten bei dieser Option auf den Einsatz von Google Analytics. Die für den Betrieb von Dr. Web notwendigen Cookies werden aber dennoch gesetzt. Einzelheiten entnimmst du bitte den Datenschutzhinweisen

Du kannst deine Cookie-Einstellungen jederzeit hier ändern: Datenschutz. Impressum

Zurück