[lug-ld] Apache Passwortschutz

[Peter Craciun]

Hallo LUG,

ich habe div. Subdomains auf meinem Server die vor Fremdzugriff durch
.htaccess-Passwort-Abfragen geschützt sind. Nun hat mir jmd. berichtet
er sei auf solch eine Subdomain von mir gelangt in dem er bei der
Passwort-Abfrage "Abbrechen" geklickt habe.

Schon allein der Gedanke machte mir Angst, doch ich konnte dieses
Fehlverhalten nicht reproduzieren. Sowohl bei falschen Angaben wie beim
Abbrechen der Abfrage bekommt ich den Fehler "401 - Authorization
Required" was ja soweit gut ist. *aufatmen*

Gab es in der Richtig in der jüngeren Vergangenheit (bis etwa Oktober
2008) einen Bug in der Apache2-Version von Debian etch? Bzw. ist an
meiner Konfiguration was faul?

#.htaccess
AuthType Basic
AuthName 'Bla...bla'
#Passwortdatei ist auserhalb des WWW-Roots
AuthUserFile /home/user/htpasswd/passwortdatei

order deny,allow
allow from all
require valid-user


Beim suchen ist mir aufgefallen, dass viele statt des "allow from all"
ein "deny from all" einsetzen. Könnte das zu dem oben beschriebenen
Fehler führen? Bzw. welche Auswirkungen hat diese Option in Anbetracht
der Tatsache, dass ein gültige Authentifizierung Voraussetzung ist um
die Inhalte anzusehen.


MfG

Peter Craciun
-- 
Derjenige, der zum erstenmal an Stelle eines Speeres ein Schimpfwort
benutzte, war der Begründer der Zivilisation. - Sigmund Freud -