[lug-ld] Apache Passwortschutz

Jean-Jacques Sarton jj.sarton at t-online.de
So Feb 22 16:27:31 CET 2009


Hallo Peter,

Deine Frage kann ich mit Sicherheit nicht abschliessend beantworten.
Bei der Überprüfung von Berechtigungen (nicht nur Einloggen) gibt es
prinzipiel 2 Wege:

1) erlaube alles
   verbiete explizit das eines oder anderes
2) Verbiete alles
   elaube explitit das eines oder anderes

In Fall 1 müssen alle mögliche Verbote festhelegt werden, in
deinen Fall bei dem nur 1 Anwender sich einloggen darf dürfte
es, nicht die richtige Vorgehensweise sein. Ist einen Verbots
Regel vergessen worden, besteht eine Lücke.
Die Regel sollte demensprechend wir folgt aussehen
Erlaube Login für alle
erlaube Login für Peter
erlaube Login für anderen und führe diese ins Nirvana

Bei Vorgehen 2) wird ein Login erstal als verboten betrachetet
und mit der nächster Regel wird diese Verbot, geziehlt aufgehoben.
2) ist dementsprechend richtig.

Wie ich es zuvor bermerkt habe gilt dieser Vorgehensweise auch
für anderes, Zugriff aufden Druck Dienst, Firewall bei den
beide Methoden in den verschiedene Beispiele zu finden sind.


Grüße,

Jean-Jacques


Peter Craciun schrieb:
> Hallo LUG,
>
> ich habe div. Subdomains auf meinem Server die vor Fremdzugriff durch
> .htaccess-Passwort-Abfragen geschützt sind. Nun hat mir jmd. berichtet
> er sei auf solch eine Subdomain von mir gelangt in dem er bei der
> Passwort-Abfrage "Abbrechen" geklickt habe.
>
> Schon allein der Gedanke machte mir Angst, doch ich konnte dieses
> Fehlverhalten nicht reproduzieren. Sowohl bei falschen Angaben wie beim
> Abbrechen der Abfrage bekommt ich den Fehler "401 - Authorization
> Required" was ja soweit gut ist. *aufatmen*
>
> Gab es in der Richtig in der jüngeren Vergangenheit (bis etwa Oktober
> 2008) einen Bug in der Apache2-Version von Debian etch? Bzw. ist an
> meiner Konfiguration was faul?
>
> #.htaccess
> AuthType Basic
> AuthName 'Bla...bla'
> #Passwortdatei ist auserhalb des WWW-Roots
> AuthUserFile /home/user/htpasswd/passwortdatei
>
> order deny,allow
> allow from all
> require valid-user
>
>
> Beim suchen ist mir aufgefallen, dass viele statt des "allow from all"
> ein "deny from all" einsetzen. Könnte das zu dem oben beschriebenen
> Fehler führen? Bzw. welche Auswirkungen hat diese Option in Anbetracht
> der Tatsache, dass ein gültige Authentifizierung Voraussetzung ist um
> die Inhalte anzusehen.
>
>
> MfG
>
> Peter Craciun
>   


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 259 bytes
Beschreibung: OpenPGP digital signature
URL         : http://lists.lug-ld.de/mailman/private/lug-ld/attachments/20090222/99c8f08b/attachment.pgp