Diskussion:.htaccess
Info
BearbeitenDünn, ziemlich dünn und dazu auch noch nicht korrekt
- Passwörter werden bei .htaccess nicht hinterlegt sondern bei .htusers
- Auf UNIX-Systemen, der übliche Standard auf dem Host (wenngleich es auch Host-Systeme unter Windows gibt) ist das Passwort zwar in .htusers eingetragen, aber grauenhaft verschlüsselt. Viel Spaß beim auseinanderfiddeln. Siehe auch das Muster unter SELFHTML.
OK, die Usernamen kann man auslesen, aber dazu muss man erst einmal per FTP rankommen. Weißt du mein Passwort, um an meine Dateien auf dem Host zu kommen? Und wer wirklich eindringen kann, der stolpert dann schon wieder über den Passwortschutz in den Verzeichnissen. Allerdings, den Weltfriedensfreunden vom NSA traue ich alles zu, die schauen auch in meine zugenähte Hosentasche, wenn ich drauf sitze. Wer unbedingt einen Windows-Host benutzen will, der kann das Fenster ja offen lassen, auf Passworte verzichten oder sie gleich öffentlich machen. Warum heiß es denn Windows? (oder Windoofs?) --Mauki 17:00, 20. Nov 2004 (CET)
- Ich denke schon, dass diese Seite ihre Berechtigung hat, denn es gibt ja genügend Webhoster die mit dem Begriff "htaccess" werben, so dass ein erklärender Artikel in Wikipedia durchaus sinnvoll ist. Das der bestehende Artikel so nicht korrekt ist, ist ja klar, aber das kann ja schnell behoben werden. ;) joergmkam
- Das Passwort bei Unix wird übrigens mit crypt verschlüsselt. --Flominator 20:42, 1. Feb 2006 (CET)
Authentifizierung über URI?
BearbeitenHallo!
Ich habe mal gelesen, dass man den htaccess-Schutz auch "umgehen" kann, wenn man in der URI oder im URL das Passwort und den Benutzernamen angibt und diesem Link dann folgt. Ist das richtig und wie wäre das Format dafür?
jack0815 nein, .htaccess kann man so nicht umgehen sondern man kann nur das fenster umgehen und sich direkt einloggen, ich glaube, es war folgendes format: passwort:username@geschützte_url.tld
Danke schonmal.
Nochmal ich: Zu den Links, ich hab's hinzugefügt, doch über den Internet Explorer funktioniert das nicht. Weiß jemand warum? --Guerda 16:46, 4. Nov 2005 (CET)
Nochmal zu der Sache mit dem Internet Explorer. Da eine Sicherheitslücke bestand, hat Microsoft die Funktion über einen Link sich bei .htaccess-geschützten Seiten deaktiviert
Wer genaueres weiß, kann ja hier mal schreiben. --Guerda 17:30, 7. Nov 2005 (CET)
- Das ist kein umgehen, sondern einfach nur ein weiterer Weg seinen Login und das Passwort an den Server übermitteln.
Das ganze wurde im IE deaktiviert, kann aber per einfachem Registry Einträg wieder hergestellt werden, warum das gemacht wurde hat sich MS nie weiter zu geäußert... --84.172.163.102
- Manche Clients für verschiedene Dienste (z. B. HTTP oder FTP) unterstützen URIs der allgemeinen Form „protocol://username:password@host:port/path“. Wie oben schon erwähnt, wird die HTTP-Authentifizierung dadurch aber nicht umgangen, sondern nur auf eine andere Art und Weise (ohne Eingabe in einem Dialogfenster) durchgeführt. Manche Webbrowser (z. B. Firefox) warnen beim Aufruf solcher Adressen, weil sie das tatsächliche Ziel eines Aufrufs verschleiern können – insbesondere bei langen URIs: http://www.friede-freude-eierkuchen.de:piep_piep_piep_ich_hab_dich_lieb@nsa.gov --131.169.184.136 14:57, 17. Apr. 2007 (CEST)
aus der QS vom 11. Dezember 2005/Überarbeiten
Bearbeiten- .htaccess bedeutet nicht, dass die Datei alleine Zugriffsverwaltung bereitstellt. Vielmehr ist es ein Teil der verteilten Konfiguration, die pro Zugriff (access) ausgewertet wird. [1] sagt: Name der dezentralen Konfigurationsdateien Man kann z.B. alle Einstellungen auch in der Apache-Konfiguration selbst, ohne .htaccess, einrichten.
- Aus dem Artikel: „Damit eine .htaccess-Datei ihre Aufgabe erfüllen kann, muß in der Konfigurationsdatei httpd.conf des Apache AllowOverride None in AllowOverride All geändert werden.“ Hmm? [2] Da gibt es neben der für Passwörter völlig ausreichenden AuthConfig auch noch FileInfo, Indexes, Limit, Options[=Option,...]
--Turing 08:18, 11. Dez 2005 (CET)
Die Wikipedia ist kein Webserver-Handbuch. Dieser Artikel wird garantiert bei den Löschkandidaten landen. -- FriedhelmW 09:31, 11. Dez 2005 (CET)
Denke ich auch. Die Dokumentation im Web zu dieser Datei ausführlich. Darüber hinaus ist es weder eine Technologie wie TLS noch eine einzelne Software wie Apache. --Turing 11:14, 11. Dez 2005 (CET)
Das betrifft ebenfalls den Redirect von Htaccess --Turing 11:48, 11. Dez 2005 (CET)
jack0815 wenn ich mich nicht irre steht in einer enzeklopedie auch drinn aus was ein brot gebacken ist ohne ein bäckerhandbuch zu sein. entweder ist wikipedia irgend wann das allumfassende wissen das jeder besucht der etwas wissen will oder nicht, wenn nicht, dann soll aber nacher keiner heulen wenns ein anderes projekt mit dem wissen als inhalt ernster nimmt.
- Der Artikel hat bereits einen LA überstanden. So schlimm findet ich ihn gar nicht, zumindest die Einleitung ist ok! --Flominator 18:52, 11. Dez 2005 (CET)
- Derzeit ist der Artikel leider ein "Howto für Manpage-Verweigerer". Mal ein wenig angerissen mit den "Einfachen Beispielen". Sinnvolles wie z.B. Überschneidung von Passwort-Authentifizierung für einen IP-Adressbereich und freien Zugriff für einen anderen und komplette Sperrung für einen Dritten, solche Szenarien werden nicht behandelt. --jha 00:17, 24. Dez 2005 (CET)
- Also erst mal. Die Password Datei, mit den Usern, kann alle Möglichen Namen haben. Meist ist es aber die .htpasswd. Die mit Standart DES verschlüsselt ist, und mit Programmen wie JTR mit Leichtigkeit geknackt werden kann. Meistens gibt es pro Domain, mehrere .htpasswd und .htaccess, aber mit nem Remote Sploit und den Unix Commandos, ist es kein Problem, die Richtige zu finden. Selbst wenn man keine System Commandos aussführen kann, sondern nur ein verbuggtes script auf dem Server gefunden hat, mit dem man Lese Rechte hat, muss man nur genug Gedult haben, und man hat bald das Password File. Die ganzen Security Sites, sind voll von verwundbaren Scripten, mit dem man sich auf nem Apache austobben kann. Weil sich anscheinend jeder, der keine Ahnung hat, zum Admin ernennt, findet man die ungepatchen *.asp *.php und *.pl *.cgi Scripts zu genüge auf Servern. Kommt schon mal vor, daß es bis zu 10 Shells auf einer einzigen Domain gibt. Shell = Direkter Zugriff auf den Server, mit Unix Commandos vom Browser aus. -- Beitrag von 216.237.220.184 15:32, 26. Mär 2006 (CET)
- Der Artikel ist in der jetzigen Form ein Krampf. Da wird es die Beteiligten wohl noch einige Mühe kosten, ihn zu überarbeiten. Seit Dezember hat sich wohl diesbezüglich auch nichts getan. Mal sehen, ob sich der Beitrag noch retten läßt. --Remi 02:12, 2. Apr 2006 (CEST)
Es sollte hier nicht unbedingt ins Spezielle gehen. Es reicht doch vollkommen aus, dem Leser grob umrissen darzulegen, was denn das 'Ding' .htaccess überhaupt ist. Spezieller wäre bei diesem Thema hier unnötig, das sprengt jeden sinnvollen Rahmen. Weiterführend kann doch auf Literatur und Weblinks verwiesen werden. Wichtig und sinnvoll ist der Artikel allemal !
- Ich hab mal ne Überarbeitung versucht... --$traight-$hoota 12:51, 29. Apr 2006 (CEST)
Versteckt?
BearbeitenWas ist mit ".htaccess-Konfigurationsdateien können daher nicht per HTTP aufgerufen werden, da diese automatisch versteckt werden." gemeint? Wie man ausprobieren kann, lassen sich Dateien mit einem Punkt am Anfang des Names durchaus per HTTP abrufen. Sie werden lediglich in der Dateiauflistung nicht angezeigt.
- Die Datei .htaccess und weitere .ht*-Dateien sollten vor Zugriff aus dem Internet geschützt werden:
<Files ~ "^.ht"> deny from all </Files>
- So etwas sollte im Text erwähnt werden. --Fomafix 11:31, 15. Feb. 2007 (CET)
- Stimmt – dass Dateien, deren Name mit einem Punkt beginnt, in der Unix-Welt üblicherweise nicht angezeigt werden (z. B. durch den Befehl ls), hat nichts mit dem voreingestellten Zugriffsschutz von .ht*-Dateien durch Apache zu tun. Auch das Apache-Modul mod_autoindex zeigt Dateien mit einem Punkt (und z. B. auch Sicherungskopien mit einer Tilde am Ende des Namens) standardmäßig nicht auf seinen automatisch generierten Indexseiten an, aber trotzdem kann man auf die Dateien zugreifen (wenn man weiß, wie sie heißen). Sobald der Name allerdings mit .ht beginnt, antwortet Apache sofort mit der HTTP-Fehlermeldung „403 Forbidden“ – es ist sogar egal, ob es die Datei überhaupt gibt oder nicht. --131.169.184.136 14:33, 17. Apr. 2007 (CEST)
Weblinks zu Generatoren
BearbeitenIch würde lieber einen Link zu einem vollwertigeren .htaccess-Generator bevorzugen wie atuell zu diesem niedlichen BananaJoe-nur-Passwortschutz-.htaccess-Generator. Zum Beispiel dieser hier kann schon eine Menge verschiedener Funktionen:
Entfernung des Absatzes "Funktionen"...
BearbeitenMir ist schon vor einiger Zeit aufgefallen, dass in der Version des Artikels vom 06.12.2008 ein riesiger Absatz gelöscht wurde, völlig ohne Begründung (und zudem von jemandem, der hier nicht angemeldet ist). Das sah für mich wie Vandalismus aus, allerdings wurde diese Version dann gesichtet und damit übernommen. Daher frage ich mich, was das soll. Denn wenn ich nicht über die Funktionen dieser Datei Bescheid wüsste, würde mir der Artikel in dieser Version nicht helfen. Für solche Kurzbeschreibungen würde auch jeder Forenbeitrag reichen, den ich über Google finde. Die Erklärung, Wikipedia sei kein How-To, ist hier auch etwas dürftig. Allgemein ist mir aufgefallen, dass sehr viele Artikel unglaublich stark gekürzt wurden. Und ich als Benutzer bevorzuge eindeutig längere Artikel, die auch weiterführende Informationen enthalten, und nicht nur einen 5-zeiligen Beschreibungstext. Artikel werden nunmal nicht für den Autor oder jemanden, der es bearbeitet, geschrieben, sondern für Leute, die sich noch informieren möchten. Und da ist es praktisch, auch noch weitere Informationen zu bekommen, ohne sich diese mühsam in den Weblinks rauszusuchen (denn dann könnte man gleich Google statt Wikipedia benutzen). Naja, vorallem scheint es mir halt suspekt, dass derjenige, der diese Version erstellt hat, nicht angemeldet war und keine Begründung geliefert hat (was andere, die Artikel kürzen, normalerweise machen). Allgemein frage ich mich auch, warum weitere Informationen so verpöhnt sind, wem schadet es? So begrenzt kann der Speicherplatz ja nicht sein. Und da der Einleitungstext zunächst der gleiche geblieben ist, ist es garantiert keine Verbesserung des Artikels; Denn nach dem Einleitungstext (der ja jetzt den Artikel ausmacht) hätte jeder für sich selbst entscheiden können, wann er aufhört zu lesen. Naja, so viel von mir, ich wollte nur ausdrücken, dass ich als einfacher Leser solche Kürzungen bedaure und es für mich und andere Leser besser wäre, wenn es mehr Informationen gäbe. --77.182.125.10 13:54, 16. Apr. 2009 (CEST)
- Ich habe den Text zwar nicht gelöscht, kann dir über die Beweggründe also nichts sagen, aber meine wären: Die Direktiven, die vorher genannt waren, gehören zu Modulen des Apache HTTP Servers. Werden Direktiven erläutert oder dargestellt, so wäre dies im Artikel des entsprechenden Moduls eigentlich richtig platziert. Es gibt sehr häufig ein Missverständnis, es gäbe ".htaccess-Passwortschutz, .htaccess Fehlerseiten" etc. Das ist aber gerade nicht der Fall. .htaccess ist eine per-directory Konfigurationsdatei. Mehr nicht. Was dort über Direktiven konfiguriert wird, ist Sache eines Moduls (siehe z.B. Rewrite-Engine). Das nicht aus der Welt zu schaffende Missverständnis entsteht wohlmöglich durch die willkürliche Nennung einiger Direktiven im Zusammenhang mit ".htaccess". Wie ein Webserver en detail konfiguriert wird (nichts anderers erfolgt über ebendiese Konfigurationsdatei) gehört auch m.E. auch nicht in die Wikipedia, das ist Sache des Handbuchs.
- Der Artikel erläutert, was eine .htaccess-Datei ist. Warum sollte er auch die Funktionsweise eines willkürlich ausgewählten Moduls x erläutern? --Bob. 17:57, 16. Apr. 2009 (CEST)
Weil beide Module eng zusammenhängen und auch im Netz in der Regel zusammen erklärt werden. htaccess sperrt ein Verzeichnis, htpasswd enthält die Zugangsdaten. Das diese Dateien häufig als Zugriffsschutz eingesetzt werden, ist halt so. --Ffprfrd 23:35, 4. Jan. 2011 (CET)
- Weil es alle falsch erklären, muss es die Wikipedia folglich auch falsch machen? mod_authn_file hat mit einer Konfigurationsdatei .htaccess nun mal nichts zu tun, außer, dass das Modul die Direktive AuthUserFile bereitstellt. Dass crypt aufgrund der Beschränkung auf 8 Zeichen sowieso ein schlechtes Beispiel ist (das Passwort im Beispiel ist also secretPa) und der Abschnitt falsch ist, soweit er angibt, dass in .htaccess-Dateien Benutzernamen und Passwort in der Form Benutzername:Hash gespeichert werden, davon wollen wir gar nicht erst reden. --Bob. 00:13, 7. Jan. 2011 (CET)
- Dann erklär es doch bitte richtig. Löschen ist keine Alternative. --Ffprfrd 17:17, 9. Jan. 2011 (CET)
Erklärung
BearbeitenHi, wollte mal fragen, ob man nicht eine verständlichere Erklärung einfügen könnte. Von der Verständlichkeit ist der Text für einen Laien sicherlich sehr schwierig zu verstehen. Muss ja nicht gleich so trivial wie in diesem Artikel sein: [3] , aber etwas in der Art wäre schon sehr nett. -- Gruß Anton 217.227.232.158 14:04, 3. Mai 2010 (CEST)
Beispiel salted hash
BearbeitenIst doch reichlich sinnlos, weder ist das ein Beleg, noch lässt sich dieser irgendwie überprüfen.--178.24.160.102 00:02, 20. Jun. 2011 (CEST)
.htaccess ist gleich .htpasswd ???
BearbeitenAus dem Artikel wird leider nicht klar, ob es zwischen den beiden Dateien einen Unterschied gibt !?--87.157.82.43 10:18, 28. Feb. 2013 (CET)