cgi-bin mit .htaccess schützen?

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

cgi-bin mit .htaccess schützen?

Postby dirkjuelich » 01. August 2004 21:01

Ich habe die xampp\htdocs\.htaccess, mit der ich den 'normalen' http-Zugriff kontrolliere, nach xampp\cgi-bin kopiert:
----schnipp----
AuthName "Nada"
AuthType Basic
AuthUserFile e:\xampp\apache\etc\htpasswd
require valid-user
----schnapp----

Trotzdem kann ich durch direkte Adressierung eines (Python-)Scriptes (http://myhost/cgi-bin/myscript.py) die Passwortabfrage umgehen! Das Script wird ohne Rückfrage ausgeführt. Gibt es um Scripte zu schützen einen anderen Schutzmechanismus? Oder was mache ich falsch?

Vielen Dank für Eure Zeit!
Dirk
dirkjuelich
 
Posts: 2
Joined: 01. August 2004 20:46

Postby Rolidor » 01. August 2004 23:42

Morsche.
dirkjuelich wrote:Gibt es um Scripte zu schützen einen anderen Schutzmechanismus?

Kommt darauf an, was du vorhast. Wenn du mit deinem Browser wärend einer Session schon mal ins Verzeichnis eingeloggt hast, bekommst du keine Abfrage mehr. Dazu musst du den Browser schließen und wieder starten. Außerdem haben Skripte ja normalerweise den Sinn, ausgeführt zu werden.
Wenn du es speziell spezial haben möchtest, dann empfehle ich dir, die Passwortabfrage im Skript zu programmieren: HTML Formular generieren -> Passwortabfrage -> Skript ausführen oder nicht. Automatische Indexgenerierung ist im cgi-bin normalerweise sowieso nicht erlaubt, so dass dir da keiner in die Skripte gucken kann.

Gruß
Rolo
Rolidor
 
Posts: 406
Joined: 20. April 2004 10:17
Location: Dreieich - Hessen

Postby dirkjuelich » 03. August 2004 01:08

Vielen Dank für Deine Antwort, Rolo!

Rolidor wrote:Wenn du mit deinem Browser wärend einer Session schon mal ins Verzeichnis eingeloggt hast, bekommst du keine Abfrage mehr. Dazu musst du den Browser schließen und wieder starten.


Ich bekomme keine Passwort-Abfrage, auch wenn ich den Browser frisch geöffnet habe und nur die URL des Scripts eingebe! Habe mittlerweile festgestellt, dass 'AllowOverride' für cgi-bin auf 'None' stand. Aber selbst mit 'All' scheint Apache sich nicht für die .htaccess in cgi-bin zu interessieren.

Rolidor wrote:Außerdem haben Skripte ja normalerweise den Sinn, ausgeführt zu werden.


Naja, aber nicht unbedingt von jedem ;-)

Jetzt habe ich das Script nach htdocs verschoben - dort wird es vor der Ausführung mit Passwortabfrage gemäss .htaccess geschützt. So lass ich es jetzt auch. Trotzdem frage ich mich, warum der Passwortschutz in cgi-bin nicht geht!

Gruß
Dirk
dirkjuelich
 
Posts: 2
Joined: 01. August 2004 20:46

Postby Rolidor » 03. August 2004 11:35

Hallo.
Noch ein kleiner Hinweis: Das 'cgi-bin' Verezichnis in 'htdocs' anlegen und den 'ScriptAlias' - Eintrag in der 'httpd.conf' auskommentieren. Dann mittels '<Directory>' die Einstellungen für das 'cgi-bin' unter 'htdocs' vornehmen. Mittels deiner '.htaccess' hast du dann auch automatisch das 'cgi-bin' geschützt.
Die Einträge in der '.htaccess' kannst du übrigens auch in die 'httpd.conf' schreiben.

Gruß
Rolo
Rolidor
 
Posts: 406
Joined: 20. April 2004 10:17
Location: Dreieich - Hessen


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 12 guests