[lug-ld] Apache Passwortschutz
Peter Craciun
peter at fam-craciun.de
Sa Feb 21 21:24:36 CET 2009
Hallo LUG,
ich habe div. Subdomains auf meinem Server die vor Fremdzugriff durch
.htaccess-Passwort-Abfragen geschützt sind. Nun hat mir jmd. berichtet
er sei auf solch eine Subdomain von mir gelangt in dem er bei der
Passwort-Abfrage "Abbrechen" geklickt habe.
Schon allein der Gedanke machte mir Angst, doch ich konnte dieses
Fehlverhalten nicht reproduzieren. Sowohl bei falschen Angaben wie beim
Abbrechen der Abfrage bekommt ich den Fehler "401 - Authorization
Required" was ja soweit gut ist. *aufatmen*
Gab es in der Richtig in der jüngeren Vergangenheit (bis etwa Oktober
2008) einen Bug in der Apache2-Version von Debian etch? Bzw. ist an
meiner Konfiguration was faul?
#.htaccess
AuthType Basic
AuthName 'Bla...bla'
#Passwortdatei ist auserhalb des WWW-Roots
AuthUserFile /home/user/htpasswd/passwortdatei
order deny,allow
allow from all
require valid-user
Beim suchen ist mir aufgefallen, dass viele statt des "allow from all"
ein "deny from all" einsetzen. Könnte das zu dem oben beschriebenen
Fehler führen? Bzw. welche Auswirkungen hat diese Option in Anbetracht
der Tatsache, dass ein gültige Authentifizierung Voraussetzung ist um
die Inhalte anzusehen.
MfG
Peter Craciun
--
Derjenige, der zum erstenmal an Stelle eines Speeres ein Schimpfwort
benutzte, war der Begründer der Zivilisation. - Sigmund Freud -