Ich habe die xampp\htdocs\.htaccess, mit der ich den 'normalen' http-Zugriff kontrolliere, nach xampp\cgi-bin kopiert:
----schnipp----
AuthName "Nada"
AuthType Basic
AuthUserFile e:\xampp\apache\etc\htpasswd
require valid-user
----schnapp----
Trotzdem kann ich durch direkte Adressierung eines (Python-)Scriptes (http://myhost/cgi-bin/myscript.py) die Passwortabfrage umgehen! Das Script wird ohne Rückfrage ausgeführt. Gibt es um Scripte zu schützen einen anderen Schutzmechanismus? Oder was mache ich falsch?
Vielen Dank für Eure Zeit!
Dirk
cgi-bin mit .htaccess schützen?
4 posts
• Page 1 of 1
cgi-bin mit .htaccess schützen?
by dirkjuelich » 01. August 2004 21:01
- dirkjuelich
- Posts: 2
- Joined: 01. August 2004 20:46
by Rolidor » 01. August 2004 23:42
Morsche.
Kommt darauf an, was du vorhast. Wenn du mit deinem Browser wärend einer Session schon mal ins Verzeichnis eingeloggt hast, bekommst du keine Abfrage mehr. Dazu musst du den Browser schließen und wieder starten. Außerdem haben Skripte ja normalerweise den Sinn, ausgeführt zu werden.
Wenn du es speziell spezial haben möchtest, dann empfehle ich dir, die Passwortabfrage im Skript zu programmieren: HTML Formular generieren -> Passwortabfrage -> Skript ausführen oder nicht. Automatische Indexgenerierung ist im cgi-bin normalerweise sowieso nicht erlaubt, so dass dir da keiner in die Skripte gucken kann.
Gruß
Rolo
dirkjuelich wrote:Gibt es um Scripte zu schützen einen anderen Schutzmechanismus?
Kommt darauf an, was du vorhast. Wenn du mit deinem Browser wärend einer Session schon mal ins Verzeichnis eingeloggt hast, bekommst du keine Abfrage mehr. Dazu musst du den Browser schließen und wieder starten. Außerdem haben Skripte ja normalerweise den Sinn, ausgeführt zu werden.
Wenn du es speziell spezial haben möchtest, dann empfehle ich dir, die Passwortabfrage im Skript zu programmieren: HTML Formular generieren -> Passwortabfrage -> Skript ausführen oder nicht. Automatische Indexgenerierung ist im cgi-bin normalerweise sowieso nicht erlaubt, so dass dir da keiner in die Skripte gucken kann.
Gruß
Rolo
- Rolidor
- Posts: 406
- Joined: 20. April 2004 10:17
- Location: Dreieich - Hessen
by dirkjuelich » 03. August 2004 01:08
Vielen Dank für Deine Antwort, Rolo!
Ich bekomme keine Passwort-Abfrage, auch wenn ich den Browser frisch geöffnet habe und nur die URL des Scripts eingebe! Habe mittlerweile festgestellt, dass 'AllowOverride' für cgi-bin auf 'None' stand. Aber selbst mit 'All' scheint Apache sich nicht für die .htaccess in cgi-bin zu interessieren.
Naja, aber nicht unbedingt von jedem
Jetzt habe ich das Script nach htdocs verschoben - dort wird es vor der Ausführung mit Passwortabfrage gemäss .htaccess geschützt. So lass ich es jetzt auch. Trotzdem frage ich mich, warum der Passwortschutz in cgi-bin nicht geht!
Gruß
Dirk
Rolidor wrote:Wenn du mit deinem Browser wärend einer Session schon mal ins Verzeichnis eingeloggt hast, bekommst du keine Abfrage mehr. Dazu musst du den Browser schließen und wieder starten.
Ich bekomme keine Passwort-Abfrage, auch wenn ich den Browser frisch geöffnet habe und nur die URL des Scripts eingebe! Habe mittlerweile festgestellt, dass 'AllowOverride' für cgi-bin auf 'None' stand. Aber selbst mit 'All' scheint Apache sich nicht für die .htaccess in cgi-bin zu interessieren.
Rolidor wrote:Außerdem haben Skripte ja normalerweise den Sinn, ausgeführt zu werden.
Naja, aber nicht unbedingt von jedem
Jetzt habe ich das Script nach htdocs verschoben - dort wird es vor der Ausführung mit Passwortabfrage gemäss .htaccess geschützt. So lass ich es jetzt auch. Trotzdem frage ich mich, warum der Passwortschutz in cgi-bin nicht geht!
Gruß
Dirk
- dirkjuelich
- Posts: 2
- Joined: 01. August 2004 20:46
by Rolidor » 03. August 2004 11:35
Hallo.
Noch ein kleiner Hinweis: Das 'cgi-bin' Verezichnis in 'htdocs' anlegen und den 'ScriptAlias' - Eintrag in der 'httpd.conf' auskommentieren. Dann mittels '<Directory>' die Einstellungen für das 'cgi-bin' unter 'htdocs' vornehmen. Mittels deiner '.htaccess' hast du dann auch automatisch das 'cgi-bin' geschützt.
Die Einträge in der '.htaccess' kannst du übrigens auch in die 'httpd.conf' schreiben.
Gruß
Rolo
Noch ein kleiner Hinweis: Das 'cgi-bin' Verezichnis in 'htdocs' anlegen und den 'ScriptAlias' - Eintrag in der 'httpd.conf' auskommentieren. Dann mittels '<Directory>' die Einstellungen für das 'cgi-bin' unter 'htdocs' vornehmen. Mittels deiner '.htaccess' hast du dann auch automatisch das 'cgi-bin' geschützt.
Die Einträge in der '.htaccess' kannst du übrigens auch in die 'httpd.conf' schreiben.
Gruß
Rolo
- Rolidor
- Posts: 406
- Joined: 20. April 2004 10:17
- Location: Dreieich - Hessen
4 posts
• Page 1 of 1
Who is online
Users browsing this forum: No registered users and 69 guests