|
Webanwendungen Alle Fragen zu Installation und Problemlösung (Torrent-Flux, Hostsoftware, Serversoftware) |
|
Themen-Optionen | Ansicht |
|
26.02.2009, 19:39 | #1 | |||||||||||
Profi
Registriert seit: 12.03.2008
Beitr?ge: 986
Abgegebene Danke: 21
Erhielt 1.079 Danke für 154 Beiträge
Downloads: 32
Uploads: 2 Nachrichten: 123 Renommee-Modifikator:
2349 |
htaccess Tutorial
Inhaltsverzeichnis
1.0 Inhaltsverzeichnis 2.0 Einführung 3.0 Der Aufbau von .HTACCESS-Dateien 4.0 Der Aufbau einer Passwort-Datei 2.0 Einführung Dieses Passwort-Abfrage-System wurde ursprünglich von Apache-Servern eingesetzt, und konnte sich mittlerweile auf allen Serversystemen etablieren. Er bietet einen recht guten Schutz, und wird deshalb oft auf gebührenpflichtigen Seiten mit pornographischem Inhalt benutzt. Eine Website, die HTACCESS einsetzt, ist daran zu erkennen, dass bei betreten des Mitgliedsbereichs ein Popup-Dialog erscheint (nicht durch ein JavaScript generiert). 3.0 Der Aufbau von .HTACCESS-Dateien In dem zu schützenden Verzeichnis ist eine Datei mit dem Namen .htaccess enthalten, welches für die Verwaltung der Passwörter zuständig ist: Wo liegen die Passwörter? Wie muss das Verzeichnis geschützt werden? 3.0 Der Aufbau von .HTACCESS-Dateien Ein .htaccess-File sieht mit einem Texteditor betrachtet so aus: AuthUserFile /usr/home/meindir/passwd AuthName Members AuthType Basic require valid-user Aus dieser Datei ist nun ersichtlich, dass die Passwörter in der Datei passwd gespeichert werden, welche sich in meinem Home-Directory befindet. Sicherheitshalber sollte das Passwort-File nicht in der Nähe der HTML-Dokumente liegen, da dadurch ein Zugriff via WWW verunmöglicht wird. Bei der AuthName-Zeile ist der Titel der Dialogbox ersichtlich: Der zu schützende Bereich wird den Namen Members tragen. Das interessante am HTACCESS-Schutz ist, dass durch das HTACCESS-File automatisch auch alle Unterverzeichnisse unterhalb des Verzeichnisses, in dem sich die HTACCESS-Datei befindet, mitgeschützt sind. 4.0 Der Aufbau einer Passwort-Datei Wie sieht nun die Passwort-Datei selber aus? Im Folgenden eine mögliche Passwort-Datei: Prometheus:jnjQcF1WWpn8w Manson:EqiRz2/cDdTjw Rieekan:hGaVqYhVIi9ek Für jedes Mitglied enthält die Passwortdatei eine Zeile, die aus zwei Teilen besteht, die durch einen Doppelpunkt getrennt sind, wie man es von den passwd-Dateien von Unix-Systemen her kennt. Der erste Teil ist der Login-Name, der zweite Teil enthält das Passwort in verschlüsselter Form. Diese Verschlüsselung ist sehr sicher. Sie ist maschinenspezifisch, und durch eine Falltürfunktion generiert worden. Das heisst, dass selbst wenn man diese Passwortdatei in die Finger bekommen würde, könnte man aus den verschlüsselten Passwörtern nicht die wirklichen Passwörter zurückberechnen. Bei der Passworteingabe wird das Passwort durch die Unix-Systemfunktion "crypt" kodiert und mit dem in der Passwortdatei abgelegten verschlüsselten Passwort verglichen. Ist es gleich, so ist der Login ok. |
|||||||||||
Folgende 4 Benutzer sagen Danke zu TrackerPolizei für den nützlichen Beitrag: |
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1) | |
|
|