Frage zum Verzeichnisschutz (Apache 1.3)

Alles, was den Apache betrifft, kann hier besprochen werden.

Frage zum Verzeichnisschutz (Apache 1.3)

Postby Karbrüggen » 14. August 2006 23:51

Hallo, habe folgendes "Problem" bei meinem Provider:

Ich habe einerseits die Domain abc.de und andererseits def.com, wobei letztere auf abc.de/fgh geredirectet wird (komisches Wort: also es zeigt auf dieses Verzeichnis) und von dort auch aufrufbar ist.

Nun möchte ich folgendes:

Wenn ich die Domain def.com aufrufe möchte ich via htaccess aufgefordert werden Benutzernamen und Passwort einzugeben -- dies allein funktioniert wunderbar.
Wenn ich nun aber abc.de/fgh aufrufe, möchte ich kein Verzeichnisschutz haben.

Grund dafür ist eine Software, die nach Möglichkeit ohne große Authentifizierung Daten hochladen kann, deren Ansicht aber nur einem bestimmtem Personenkreis zugänglich ist.

In Ahnlehnung an die <IfModule>-Konstruktion dachte ich mir, ich würde es so konstruieren wollen:

Code: Select all
<If %HTTP_REFERER == "http://www.def.com">
      AuthType Basic
      AuthName "Blubber di Blubb"
      AuthUserFile /home/www/kunden/abc.de/fgh/.htdata/.htpasswd
      require user Alfred Bertha Chris Doerte
</If>


Ist das überhaupt möglich?

mfg
K
Karbrüggen
 
Posts: 6
Joined: 04. May 2006 18:43

Re: Frage zum Verzeichnisschutz (Apache 1.3)

Postby Micodat » 15. August 2006 14:38

Karbrüggen wrote:Wenn ich die Domain def.com aufrufe möchte ich via htaccess aufgefordert werden Benutzernamen und Passwort einzugeben -- dies allein funktioniert wunderbar.
Wenn ich nun aber abc.de/fgh aufrufe, möchte ich kein Verzeichnisschutz haben.


Leg dir zwei virtuelle hosts an:

Code: Select all
<VirtualHost *:80>
    ServerName abc.de
</VirtualHost>

<VirtualHost *:80>
    ServerName def.com
    AuthType Basic
    AuthName "Blubber di Blubb"
    AuthUserFile /home/www/kunden/abc.de/fgh/.htdata/.htpasswd
    require user Alfred Bertha Chris Doerte
</VirtualHost>
REALITY.SYS is corrupt. Reboot universe? (y/n)
Micodat
 
Posts: 27
Joined: 01. August 2005 10:21

Postby Karbrüggen » 15. August 2006 16:45

Oh, ich vergaß zu erwähnen: Ich habe lediglich Webspace gemietet, Zugriff auf die httpd.conf habe ich nicht.

Aber kann ich aus deine Antwort schließen, dass mein Vorhaben nicht per .htaccess realisierbar ist?

mfg
K
Karbrüggen
 
Posts: 6
Joined: 04. May 2006 18:43

Postby Wiedmann » 15. August 2006 16:54

Grund dafür ist eine Software, die nach Möglichkeit ohne große Authentifizierung Daten hochladen kann,

Nur mal eine Frage nebenbei:
Läd die Software die Daten über HTTP hoch? Das ist ja eher ungewöhnlich. Dann macht sie wohl einen GET oder POST-Request?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby Karbrüggen » 15. August 2006 22:45

Nur mal eine Frage nebenbei:
Läd die Software die Daten über HTTP hoch? Das ist ja eher ungewöhnlich. Dann macht sie wohl einen GET oder POST-Request?


Jepp.

Aber das ist mir grad nebensächlich geworden, bin "heiß" und will wissen ob mein Anliegen umsetztbar ist...
Karbrüggen
 
Posts: 6
Joined: 04. May 2006 18:43

Postby Wiedmann » 15. August 2006 23:24

Aber das ist mir grad nebensächlich geworden,

Naja, wärst nicht der Erste, der eine Einschränkung im HTTP-Server machen will, obwohl die Daten per FTP hochgeladen werden...

bin "heiß" und will wissen ob mein Anliegen umsetztbar ist...

SetEnvIf, Allow und Satisfy brauchst du dazu.

Allerdings ist das trotzdem Quark. Wenn du 2 öffentliche Adressen hast, und über die Eine das Ganze frei zugänglich ist, brauchst du es über die Andere nicht mehr beschränken.
--> Security by Obscurity ist immer mit Vorsicht zu geniessen.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby goran75 » 16. August 2006 10:23

Ich habe da noch eine Frage zum Verzeichnisschutz.
und zwar habe ich das Verzeichnisschutz für xampp angelegt. OS Solaris und letzte Xampp Beta.
Nun möchte ich diese wieder deaktivieren. Was auch zum Teil via localhost/security funktionierte. Jedoch fragt er weiterhin nach einem Username und Passwort und genau das soll er ja nicht mehr machen.
Meine Frage ist, wie kann ich diese Username Passwort abfrage komplett deaktivieren?
Danke und Gruss
goran75
 
Posts: 32
Joined: 03. August 2006 08:32

Postby goran75 » 16. August 2006 10:55

OK hab es selbst gelöst. Ich habe den Inhalt der .htaccess auf /opt/xampp/htdocs/xampp einfach gelöscht und somit konnte ich wieder auf die Applikationen ohne Aufforderung zum Login zugreifen.

Gruss

Goran
goran75
 
Posts: 32
Joined: 03. August 2006 08:32

Postby Karbrüggen » 16. August 2006 18:39

Und dafür schreibst du in meinen Thread? ;-)

Mein Problem habe ich auch gelöst: Eine Anfrage à la "http://Username:Passwort@def.com..." hilft mir bei meinem Problem weiter...
Karbrüggen
 
Posts: 6
Joined: 04. May 2006 18:43

Postby Wiedmann » 16. August 2006 18:47

Mein Problem habe ich auch gelöst: Eine Anfrage à la "http://Username:Passwort@def.com..." hilft mir bei meinem Problem weiter...

Ich dachte du wolltest nicht mehr wissen, wie sich dein Problem einfach lösen lässt ;-) (Ist ja nicht die Lösung zu deiner urspünglichen Frage)

Ist jedenfalls die einzigst vernüftige, und für dich auch sicherste Lösung, nachdem ja dann klar war, dass dein Client einen HTTP-Request macht.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany


Return to Apache

Who is online

Users browsing this forum: No registered users and 4 guests