[lug-ld] Apache Passwortschutz

Goetz Bauermann goetz at gbauermann.de
So Feb 22 19:37:14 CET 2009


Hallo Peter,
deine .htaccess Datei ist so in Ordnung. Ich vermute jmd. hat sich
erfolgreich authentisiert und die gleiche Browser Session ist irgendwann
hinterher wieder auf dieses Verzeichnis gestossen.
Erklärung zu den Einträgen:
order deny,allow ist der Standard und gibt Reihenfolge und
Defaultauswertung der Einträge von deny from ... / allow from ... an.
Also zuerst werden die deny Ausdruecke und dann die allow Ausdruecke
ausgewertet. Allow from und deny from beziehen sich nur auf IP Adressen
oder Adressbereiche (Netze). Da du den Zugriff von Ueberall erlaubst
könnten die Angaben auch weggelassen werden.
Einzig entscheidend für den Zugriff in deinem Fall ist: require valid-user
In deinem Fall werden nur User aus der AuthUserFile zugelassen,die sich
erfolgreich authentisieren.

Zur Frage 2: So formuliere ich wenn ich IP's gezielt zulassen will. Also
zuerst deny from all und dann allow from mydomain.com usw.
Dabei wieder die Reihenfolge von order deny,allow [allow,deny] beachten.
Diese Reihenfolge kann zu unerwarteten Ergebnissen führen.

Zusammenfassend greift in deinem Fall nur 'require valid-user' und das
ist gut so.

Weiterführende Erklärungen zu der Thematik siehe:
http://httpd.apache.org/docs/1.3/mod/mod_access.html#order




Peter Craciun schrieb:
> Hallo LUG,
>
> ich habe div. Subdomains auf meinem Server die vor Fremdzugriff durch
> .htaccess-Passwort-Abfragen geschützt sind. Nun hat mir jmd. berichtet
> er sei auf solch eine Subdomain von mir gelangt in dem er bei der
> Passwort-Abfrage "Abbrechen" geklickt habe.
>
> Schon allein der Gedanke machte mir Angst, doch ich konnte dieses
> Fehlverhalten nicht reproduzieren. Sowohl bei falschen Angaben wie beim
> Abbrechen der Abfrage bekommt ich den Fehler "401 - Authorization
> Required" was ja soweit gut ist. *aufatmen*
>
> Gab es in der Richtig in der jüngeren Vergangenheit (bis etwa Oktober
> 2008) einen Bug in der Apache2-Version von Debian etch? Bzw. ist an
> meiner Konfiguration was faul?
>
> #.htaccess
> AuthType Basic
> AuthName 'Bla...bla'
> #Passwortdatei ist auserhalb des WWW-Roots
> AuthUserFile /home/user/htpasswd/passwortdatei
>
> order deny,allow
> allow from all
> require valid-user
>
>
> Beim suchen ist mir aufgefallen, dass viele statt des "allow from all"
> ein "deny from all" einsetzen. Könnte das zu dem oben beschriebenen
> Fehler führen? Bzw. welche Auswirkungen hat diese Option in Anbetracht
> der Tatsache, dass ein gültige Authentifizierung Voraussetzung ist um
> die Inhalte anzusehen.
>
>
> MfG
>
> Peter Craciun
>