usernam / password bei htaccess geschützer Seite mitgeben

Alles, was den Apache betrifft, kann hier besprochen werden.

usernam / password bei htaccess geschützer Seite mitgeben

Postby superbike » 30. November 2005 15:57

Hallo Leute,
wir haben unseren Intranet-Bereich mit einer htaccess Datei geschützt. Normalerweise gibt der Benutzer dann im Promptfenster seinen Benutzername und das Passwort ein. In unserem Fall möchten wir aber per Programm (Taskplaner / Cronjob) eine php Seite aufrufen.
Gibt es eine Möglichkeit, dem Browser Benutzername und Passwort beim Aufruf von http:/meineSeite/index.php mitzugeben?
Danke für Eure Hilfe.
Last edited by superbike on 14. December 2005 12:02, edited 1 time in total.
Gruss superbike

Server: Suse9.2 mit xampp, w2k
Client: Suse9.2 / WinXP SP2, TB2.0 mit deutschem Lightning, FF2.0
User avatar
superbike
 
Posts: 38
Joined: 17. November 2004 15:17

Postby Vandoo » 30. November 2005 16:05

Meines Wissen nach ja aber nicht sicher. Nur in Klartext.

Du kannst den Link dann öffnen über

Code: Select all
http://USERNAME:PASSWORT@www.meineseite.de


ist nur die Frage ob das elegant ist .. ich weiß das es so geht aber wenn jemand noch was sicheres kennt würde ich es eher damit versuchen
Vandoo
 
Posts: 20
Joined: 13. October 2005 08:40

Postby superbike » 30. November 2005 17:13

ja, das ist der richtige Weg. :)
Nun kommt aber ein Promptfenster (im FF+Netscape) mit "Sie sind dabei sich bei der Website meineSeite.de mit dem Benutzer Benutzername anzumelden". Nun muss mit OK bestätigt;
wie kann ich das nun umgehen / automatisieren ? :oops:
Gruss superbike

Server: Suse9.2 mit xampp, w2k
Client: Suse9.2 / WinXP SP2, TB2.0 mit deutschem Lightning, FF2.0
User avatar
superbike
 
Posts: 38
Joined: 17. November 2004 15:17

Postby Wiedmann » 30. November 2005 17:42

Nicht mit einem Browser --> Username und Passwort sind in URL's nicht zugelassen.
(Auch wenn viele Browser das verstehen, aber deshalb halt ein Fenster anzeigen).

Für so eine Aktion würde ich fetch,wget, cURL o.ä. benutzen.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby KingCrunch » 30. November 2005 22:54

Die Übergabe innerhalb der URL is durchaus vorgesehen, sollte nur TUNLICHST vermieden werden. URLs werden nicht codiert und deshalb wird das Passwort immer fleissig offen über die Leitung gejagt.

Nicht jeder Browser meldet, ob du mit Benutzernamen/Passwort angemeldet bist. FireFox afaik nicht. Aber das dürfte dem Cronjob nicht interessieren.

eine andere Methode:
Hast du Zugriff auf die .htaccess? Ich würde empfehlen die eine Datei einfach von der Restriktion auszuschließen. Sollte das eine allgemeine Datei sein, kann man dazu ja ne kleine Dummy-Umleitung schreiben. zB wenn dein Cronjob die Datei cronjob.php aufrufen soll und der Cron-Server die IP 192.168.1.150 hat, dann könntest du in die .htaccess folgendes eintragen:
Code: Select all
<Files cronjob.php>
Order Deny,Allow
Deny From All
Allow From 192.168.1.150
</Files>


Eigentlich müsste das klappen. Damit gibst du dem Cron-Server den offenen Zugriff auf eine einzelne Datei.[/code]
KingCrunch
 
Posts: 1724
Joined: 26. November 2005 19:25

Postby Wiedmann » 30. November 2005 23:15

Die Übergabe innerhalb der URL is durchaus vorgesehen,

URL's als Oberbegriff gesehen jein. Da ist das je nach letztendlich benutztem Protokoll durchaus erlaubt:
- bei HTTP nein
- bei FTP z.B. ja

Du kannst das aber gerne in den entsprechenden RFC's nachlesen.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby KingCrunch » 30. November 2005 23:34

arg, nagut. Ist es denn bei HTTP explizit verboten? Oder nur nicht erlaubt?
KingCrunch
 
Posts: 1724
Joined: 26. November 2005 19:25

Postby Wiedmann » 30. November 2005 23:46

Ist es denn bei HTTP explizit verboten? Oder nur nicht erlaubt?

Hmm, das gibt es dort einfach nicht. Auch wenn es wie gesagt manche Browser unterstützen. Gerade bei Browsern (für die ja HTTP gedacht ist), wo ja z.B gerade bei Links alles im Quelltext stehen würde, ist es gut das die Unterstützung immer mehr nachlässt.

In Parametern für Kommandozeilentools oder den PHP Streamfunktionen ist das allerdings noch gängige Praxis und dort nicht wirklich ein Problem (Sicherheit).

Mal ein schräges Beispiel aus der Rechtschreibung:
Manche schreiben ja gerne anstatt nämlich - nähmlich. Jetzt steht zwar nirgends das "nähmlich" explizit verboten ist, es ist auch (nur) nicht im Duden aufgeführt, du kannst es ohne Probleme lesen und verstehen und trotzdem ist es schlicht und einfach falsch.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby KingCrunch » 30. November 2005 23:55

Oh, Grundsatzdiskussion, juchuuu :D
----
Also:
"Nähmlich" ist nur falsch, wenn es die Bedeutung von "nämlich" annehmen soll. Du kannst auch sagen "Nähmlich", so nenn ich meinen Hund, dann ist richtig. Du hast also für die Bedeutung des Wortes also ein Wort, nämlich "nämlich". Das kannst du nicht überschreiben. Einen vergleichbaren Fall, so scheint mir, gibt es für Benutzername/Passwort in URL in HTTP nicht. Demnach wäre es eine undefinierte Situation, die nur die Browser ... spasseshalber bereitstellen.
KingCrunch
 
Posts: 1724
Joined: 26. November 2005 19:25

Postby superbike » 01. December 2005 09:16

KingCrunch wrote:Hast du Zugriff auf die .htaccess?
Code: Select all
<Files cronjob.php>
Order Deny,Allow
Deny From All
Allow From 192.168.1.150
</Files>

Ja hab ich, hab diese sinngemäss auf das ganze Verzeichnis umgestellt mit:
Code: Select all
AuthPAM_Enabled on
AuthPAM_FallThrough off
AuthName "Intranet meineFirma"
AuthType basic
require valid-user
# Dieser Pfad ohne Anmeldung der user
<Directory /der/ganze/pfad/zu/phpDateien>
    Order Deny,Allow
    Deny from all
    Allow from 192.168.1.1 192.168.1.150
</Directory>
nur komme ich im Browser die Meldung:
Code: Select all
The server encountered an internal error or misconfiguration and was unable to complete your request.
Das Server-Log :
Code: Select all
[Thu Dec 01 09:12:53 2005] [alert] [client 192.168.1.119] /webhosts/intranet/.htaccess: <Directory not allowed here

wobei Directory not allowed here irgendwie entscheidend ist; aber was mach ich denn falsch, ich sehs nicht grad ...
Last edited by superbike on 14. December 2005 12:05, edited 1 time in total.
Gruss superbike

Server: Suse9.2 mit xampp, w2k
Client: Suse9.2 / WinXP SP2, TB2.0 mit deutschem Lightning, FF2.0
User avatar
superbike
 
Posts: 38
Joined: 17. November 2004 15:17

Postby Wiedmann » 01. December 2005 10:15

wobei Directory not allowed here irgendwie entscheidend ist; aber was mach ich denn falsch, ich sehs nicht grad ...

Ich hab jetzt keine Ahnung wo die Directiven drinstehen. Aber wenn das in einer ".htaccess" ist, musst du die Directiven "<Directory ...>" und "</Directory>" weglassen.

Ansonsten musst du auch noch die Directive "Satisfy" benutzen um das von dir gewünschte zu erreichen.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby superbike » 01. December 2005 11:07

Wiedmann wrote:Ich hab jetzt keine Ahnung wo die Directiven drinstehen.
ja steht in htaccess drin ... Das mit <Directory> hab ich auch gefunden: http://de.selfhtml.org/servercgi/server/htaccess.htm
Also hab ich Deine Variante genommen und htaccess angepasst:
Code: Select all
AuthPAM_Enabled on
AuthPAM_FallThrough off
AuthName "Intranet"
AuthType basic
require valid-user

# wenn im Intranet, dann ohne Benutzeranmeldung auf die Sites
Order Deny,Allow
Deny from all
Allow from 192.168.1
Satisfy any
mit gleicher Fehlermeldung im Browser und folgendem Error Log:
Code: Select all
[Thu Dec 01 10:42:02 2005] [alert] [client 192.168.1.122] /webhosts/intranet/.htaccess: allow not allowed here

kommentiere ich "Allow from 192.168.1" aus und lasse nur "Satisfy any" stehen, dann komme ich ohne Anmeldung fehlerfrei rein. Nur eben, so weit will ich ja nicht aufmachen :oops:
Auszug aus der httpd.config :
Code: Select all
<Directory>
# AllowOverride controls what directives may be placed in .htaccess files.
# It can be "All", "None", or any combination of the keywords:
#   Options FileInfo AuthConfig Limit
#
    #AllowOverride AuthConfig
    # since XAMPP 1.4:
    AllowOverride All

#
# Controls who can get stuff from this server.
#
    Order allow,deny
    Allow from all

# AllowOverride controls what directives may be placed in .htaccess files.
# It can be "All", "None", or any combination of the keywords:
#   Options FileInfo AuthConfig Limit
#
    #AllowOverride AuthConfig
    # since XAMPP 1.4:
    AllowOverride All
#
# Controls who can get stuff from this server.
#
    Order allow,deny
    Allow from all
</Directory>
Warum ist allow in der htaccess nicht erlaubt?
Last edited by superbike on 14. December 2005 12:06, edited 2 times in total.
Gruss superbike

Server: Suse9.2 mit xampp, w2k
Client: Suse9.2 / WinXP SP2, TB2.0 mit deutschem Lightning, FF2.0
User avatar
superbike
 
Posts: 38
Joined: 17. November 2004 15:17

Postby KingCrunch » 01. December 2005 11:59

Reicht es nicht eine Art Interface-Datei zu schreiben und die dann freizugeben?
Nicht jeder Fehler ist ein Bug ...
KingCrunch
 
Posts: 1724
Joined: 26. November 2005 19:25

Postby superbike » 14. December 2005 12:01

Hallo Leute,
Code: Select all
[Thu Dec 01 10:42:02 2005] [alert] [client 192.168.1.122] /webhosts/intranet/.htaccess: allow not allowed here
Nach langem suchen hab ichs gefunden in der httpd.config:
Code: Select all
# <Directory "/default/Pfad/zu/htdocs">

<Directory "/mein/richtiger/pfad/zu/htdocs">  # <<<<<<<<<<<<<<<<<<<<< ANPASSEN !!!

# AllowOverride controls what directives may be placed in .htaccess files.
# It can be "All", "None", or any combination of the keywords:
#   Options FileInfo AuthConfig Limit
#
    #AllowOverride AuthConfig
    AllowOverride All
#
# Controls who can get stuff from this server.
#
    Order allow,deny
    Allow from all
</Directory>
:wink: der falsche Pfad zu meinen htdocs war schuld, dass die .htacess Anweisungen nicht interpertiert wurden. :wink:
Gruss superbike

Server: Suse9.2 mit xampp, w2k
Client: Suse9.2 / WinXP SP2, TB2.0 mit deutschem Lightning, FF2.0
User avatar
superbike
 
Posts: 38
Joined: 17. November 2004 15:17


Return to Apache

Who is online

Users browsing this forum: No registered users and 14 guests