Wie wird .htpasswd verschlüsselt?

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Wie wird .htpasswd verschlüsselt?

Postby Haue » 27. February 2003 20:02

Ich habe mich hier schon einigermaßen umgeschaut, werde aber aus den Beiträgen über .htaccess & co nicht wirklich schlau. Es wird gesagt, das ich das Passwort mit der htpasswd.exe in apache/bin/ verschlüsselt werden soll. Doch wie geht das? Jedesmal wenn ich das Programm aufrufe, erscheint es kurz und ist auch schon wieder weg. Was mache ich falsch?

Möchte doch nur einen unterordner (htdocs/unterordner/) schützen...
Gruß Haue
User avatar
Haue
 
Posts: 41
Joined: 25. February 2003 16:17
Location: Emsland

Postby Haue » 27. February 2003 20:17

Meine .htaccess, die in diesem, zu schützendem ordner liegt, sieht jetzt so aus:

AuthType Basic
AuthName "Interner Bereich"
AuthUserFile users.pw
require valid-user


und die users.pw so:

benutzer:0ae0bdb82228b0a7815175d8b8cd4b80

Es tut aber nicht. Die Abfrage kommt immer wieder...

PS: Zur Frage da oben: Habe im Internet ein Javascript gefunden, das MD5-Verschlüsselt
Gruß Haue
User avatar
Haue
 
Posts: 41
Joined: 25. February 2003 16:17
Location: Emsland

Postby AlexPausB » 27. February 2003 20:21

War das nicht, so dass bei Windows die Passwörter plain, also im Klartext drin stehen müssen? Probier das mal aus!
AlexPausB
 
Posts: 471
Joined: 05. February 2003 11:19
Location: Fdorf

Postby Haue » 27. February 2003 20:29

OK! ES TUT!!!!!!!!!!!!!!!

Wunderbar, aber ist das denn dann noch sicher????

Es muss doch auch funktionieren, wenn es verschlüsselt ist oder?
Gruß Haue
User avatar
Haue
 
Posts: 41
Joined: 25. February 2003 16:17
Location: Emsland

Postby AlexPausB » 27. February 2003 20:33

Sicher ist eh immer relativ! Klar ist ein im Klartext gespeichertes Passwort nicht so "sicher", als wie wenns verschlüsselt is...

Warum das nur so geht, kann uns hoffentlich jmd anderes sagen!?
AlexPausB
 
Posts: 471
Joined: 05. February 2003 11:19
Location: Fdorf

Postby Haue » 27. February 2003 20:35

Aber die Datei, in der das Passwort liegt, liegt ja auch hinter der Abfrage. Damit ist diese Datei ja auch geschützt. Oder hab ich da was falsch verstanden.

Ich kann auf jeden Fall nicht auf die Passwortdatei zugreifen ohne Name & Passwd einzugeben
Gruß Haue
User avatar
Haue
 
Posts: 41
Joined: 25. February 2003 16:17
Location: Emsland

Postby AlexPausB » 27. February 2003 20:39

Haue wrote:Aber die Datei, in der das Passwort liegt, liegt ja auch hinter der Abfrage.


Dast tut sie, wenn sie im selben Verzeichnis wie die htaccess liegt. Man sollte aber so sensitive Dateien in nich "öffentlichen" Verzeichnissen ablegen. D.h. weg aus dem document-root.

Ein versuchter Downlaod der Datei (ich weiss ja jetzt wo sie liegt :-)) und ein wenig Brute-Force (untertrieben) könnte schon reichen und ich könnte mir alle darin gespeicherten Zugangsdaten angucken... :wink:
AlexPausB
 
Posts: 471
Joined: 05. February 2003 11:19
Location: Fdorf

Postby Haue » 27. February 2003 20:47

Um an die Datei ranzukommen musst du doch die daten kennen. Und die Leute die Zugriff darauf haben, kenne die Daten ja eh schon.

Man sollte aber so sensitive Dateien in nich "öffentlichen" Verzeichnissen ablegen. D.h. weg aus dem document-root.


Es ist ja so gesehen nicht öffentlich. Und es ist ein Unterordner des roots
Gruß Haue
User avatar
Haue
 
Posts: 41
Joined: 25. February 2003 16:17
Location: Emsland

Postby Oswald » 27. February 2003 22:58

Hallo Freunde!

Ich kann AlexPausB nur generell zustimmen: sensible Daten - wie Passwörter oder sonstige Kundendaten - gehören nicht ins htdocs-Verzeichnis. Die Vergangenheit hat schon oft gezeigt, dass immer jemand (unbefugtes) an diese Daten herankommen kann.

Allerdings!!! In diesem Fall denke ich, ist es ok. Schließlich hat eigentlich jeder Apache in seiner Konfigurationsdatei die folgenden Zeilen stehen:

<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>


Damit ist absolut sichergestellt, dass nieman von "aussen" auf Dateien zugreifen kann, die mit .ht beginnen. Solange man also diese Zeilen in seiner httpd.conf nicht löscht, ist alles im grünen Bereich. ;)

Liebe Grüße,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby AlexPausB » 27. February 2003 23:01

Ah - wieder was gelernt :-)

Dank' Dir Kai!
AlexPausB
 
Posts: 471
Joined: 05. February 2003 11:19
Location: Fdorf

Postby Haue » 28. February 2003 21:12

OK ich habs jetzt auch geschafft die datei aus dem root zu nehmen. Eigentlich ganz einfach. Besten Dank für eure Hilfe.

Dieses Forum hilft einem nochmal richtig!!!
Gruß Haue
User avatar
Haue
 
Posts: 41
Joined: 25. February 2003 16:17
Location: Emsland


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 42 guests