.htaccess: Error 403 show hidden folder

Alles, was den Apache betrifft, kann hier besprochen werden.

.htaccess: Error 403 show hidden folder

Postby Frank23 » 17. June 2015 18:32

Hi Leute, bin am verzweifeln:

im Rootverzeichnis liegt eine .htaccess:
Code: Select all
RewriteEngine On
ErrorDocument 403     /error.html
ErrorDocument 404     /error.html
RewriteRule !^PUBLIC/ /PUBLIC%{REQUEST_URI}  [L].


Wird jetzt www.domain.de aufgerufen schaut er nach in www.domain.de/PUBLIC.
Bei einem 404 not found Fehler ist alles in Ordnung.
Bei einem 403 no permission Fehler zeigt er so an: www.domain.de/PUBLIC/vendor. Er zeigt also den verstecken Ordner mit an, was gar nicht gut ist.

Kann ich das irgendwie per .htaccess abfangen?

Danke schonmal.
Frank
Frank23
 
Posts: 3
Joined: 17. June 2015 18:27
Operating System: Linux

Re: .htaccess: Error 403 show hidden folder

Postby Nobbie » 17. June 2015 19:17

Frank23 wrote:Er zeigt also den verstecken Ordner mit an, was gar nicht gut ist.


Das stimmt ja gar nicht. Es wird kein "versteckter" Ordner angezeigt, es wird nur angezeigt, dass es mit dem Ordner PUBLIC nicht so klappt.

Frank23 wrote:Kann ich das irgendwie per .htaccess abfangen?


Man kann alles machen, aber in diesem Fall: wozu? Wenn Dein "Sicherheitskonzept" darauf beruht, dass man einen bestimmten Ordnernamen nicht wissen darf ("PUBLIC"), ist das sowieso das vollkommen falsche Konzept. Wovor hast Du denn Angst?
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Re: .htaccess: Error 403 show hidden folder

Postby glitzi85 » 17. June 2015 20:59

Ich hab ja keine Ahnung was du für eine komische installation hast, aber prinzipiell KANN das so nicht funktionieren.

Code: Select all
RewriteEngine On
ErrorDocument 403     /error.html
ErrorDocument 404     /error.html
RewriteRule !^PUBLIC/ /PUBLIC%{REQUEST_URI}  [L].

Erstmal erzeugt der Punkt einen 500er Fehler. Ich nehme an das war ein Typo?
Dann leitest du alle Anfragen, die NICHT mit PUBLIC anfangen (z.B. error.html) nach /PUBLIC um. Fehler aufgefallen?

Ganz davon abgesehen hat Nobbie natürlich recht, wenn du nicht möchtest dass jemand erkennt (oder erraten kann) welche Ordner existieren, dann musst du ein komplett anderes konzept fahren (erst authentifizieren, dann authorisieren), das mit Apache allein aber vermutlich nicht möglich ist (dazu kenn ich mich mit Apaches authentifizierungen zu wenig aus).
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Re: .htaccess: Error 403 show hidden folder

Postby Nobbie » 18. June 2015 10:50

Ich würde mal vermuten, dass der Ordner PUBLIC eben derjenige ist, in dem die "aufrufbaren" HTML Dokumente liegen und alles, was darüber ist (inkl. dem Ordner PUBLIC selbst), sollen Anwender nicht sehen können. Wenn das so ist, dann muss man einfach den DocumentRoot in httpd.conf umdefinieren, nämlich den Ordner PUBLIC mit im Pfad aufnehmen.

Also beispielsweise statt

Code: Select all
DocumentRoot "/var/www/html"


so definieren

Code: Select all
DocumentRoot "/var/www/html/PUBLIC"


Und den ganze Rewrite vergessen, die ErrorDokumente kann man auch unter PUBLIC schieben.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Re: .htaccess: Error 403 show hidden folder

Postby Frank23 » 19. June 2015 13:05

Sorry, dachte ein Ausschnitt würde genügen :oops:

Meine Änderung sollen eine bessere Übersicht schaffen.

Im Root - Verzeichnis:
.htaccess (siehe unten)
/ERROR/
/PUBLIC/
/OLDHOMEPAGE/

Code: Select all
RewriteEngine On

# ERROR
ErrorDocument 400     /ERROR/error.html
ErrorDocument 401     /ERROR/error.html
ErrorDocument 403     /ERROR/error.html
ErrorDocument 404     /ERROR/error.html
ErrorDocument 500     /ERROR/error.html
ErrorDocument 502     /ERROR/error.html
ErrorDocument 504     /ERROR/error.html

# REDIRECT INFO TO NET
RewriteCond %{HTTP_HOST} ^(www\.)?my-domain\.info$ [NC]
RewriteRule ^(.*)$ http://www.my-domain.net/$1 [R=301,L]

# REDIRECT NO WWW TO WWW
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]

# REDIRECT TO ERROR PAGES
RewriteCond %{REQUEST_URI} ^/ERROR(/|$)
RewriteRule !^ERROR/ /ERROR%{REQUEST_URI}  [L]

######## REDIRECT ROOT TO SUBFOLDER
RewriteCond %{REQUEST_URI} !^/ERROR(/|$)

### OLD HOMEPAGE
#RewriteRule !^OLDHOMEPAGE/ /OLDHOMEPAGE%{REQUEST_URI}  [L]

### NEW HOMEPAGE
RewriteRule !^PUBLIC/ /PUBLIC%{REQUEST_URI}  [L]


Wenn ein Fehler in der neuen "PUBLIC" gefunden wird, so kann man mit einem versetzen des Kommentar die alte Homapge reaktivieren.
Es läuft sehr gut, bis auf den Schönheitsfehler, bei 403 Fehlern wird http://www.my-domain.net/PUBLIC/vendor angezeigt.
Frank23
 
Posts: 3
Joined: 17. June 2015 18:27
Operating System: Linux

Re: .htaccess: Error 403 show hidden folder

Postby Nobbie » 19. June 2015 13:18

Frank23 wrote:Es läuft sehr gut, bis auf den Schönheitsfehler, bei 403 Fehlern wird http://www.my-domain.net/PUBLIC/vendor angezeigt.


Das ist eben so. Da ein 403er Fehler sowieso ein zu vermeidender Fehler ist (der auf eine fehlerhafte Konfiguration hinweist), musst Du das eben verhindern. Unabhängig davon verstehe ich den Sinn dieser Vorgehensweise immer noch nicht. Das dürfte alles mit ALIAS und/oder VirtualHosts viel sauberer gehen. Diese Umleiterei ist für mich wildes Gehacke.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Re: .htaccess: Error 403 show hidden folder

Postby Frank23 » 19. June 2015 15:29

Nobble wrote:Da ein 403er Fehler sowieso ein zu vermeidender Fehler ist (der auf eine fehlerhafte Konfiguration hinweist)

https://community.apachefriends.org/.htaccess -> ergibt auch ein 403er Fehler

Nobble wrote:Das dürfte alles mit ALIAS und/oder VirtualHosts viel sauberer gehen.

Habe keinen Zugriff auf die VirtualHost, da ein Webhostingtarif.

Nobble wrote:Umleiterei ist für mich wildes Gehacke.

hätte natürlich im Rootverzeichnis die Page legen können und dort Unterordner für ERROR und OLDPAGE.
Mir gefällt meine Lösung besser, da eine Umstellung auf die alte Homepage schneller und sicherer ist
Frank23
 
Posts: 3
Joined: 17. June 2015 18:27
Operating System: Linux

Re: .htaccess: Error 403 show hidden folder

Postby Nobbie » 19. June 2015 17:04

Frank23 wrote:https://community.apachefriends.org/.htaccess -> ergibt auch ein 403er Fehler


Und?

Frank23 wrote:Habe keinen Zugriff auf die VirtualHost, da ein Webhostingtarif.


Selbst in den günstigsten Tarifen kann man Subdomains mit eigenen DocumentRoots anlegen, das würde ja schon reichen, ansonsten braucht man eben einen mindestens Vserver (gibt es auch ab 8,90€ pro Monat). Ich finde diese Umleitungen schrecklich. Eine saubere Konfiguration ist viel leichter zu warten und auch zu verstehen.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04


Return to Apache

Who is online

Users browsing this forum: No registered users and 5 guests