Ergebnis 1 bis 5 von 5

.htpasswd im selben Verzeichnis wie .htaccess für Verzeichnisschutz

  1. #1 Zitieren
    Ritter Avatar von Feuerstern
    Registriert seit
    Sep 2007
    Beiträge
    1.800
    Hallo Zusammen,
    spricht etwas dagegen eine .htpasswd Datei im selben Verzeichnis zu platzieren wie die .htaccess Datei wenn der gesamte Bereich (also ab der .htaccess Datei) geschützt sein soll?
    Ich meine mal vor längerer Zeit irgendwo gelesen zu haben das die .htpasswd in einem Unterverzeichnis liegen sollte, aber kann den Grund dafür nicht nachvollziehen. Auf die .htpasswd Datei sollte von außen eig sowieso niemand Zugriff haben und das gesamte Verzeichnis ist dazu noch gesperrt.

    Viele Grüße
    Feuerstern ist offline

  2. #2 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Wenn, dann sollte die .htpasswd eher außerhalb des Document-Root liegen, also eher oberhalb der .htaccess (eben so weit oberhalb, dass der Webserver sich eh weigert sie aus zu liefern).

    Idealerweise hasht man die Passwörter darin auch.
    Lookbehind ist offline

  3. #3 Zitieren
    Ritter Avatar von Feuerstern
    Registriert seit
    Sep 2007
    Beiträge
    1.800
    Danke für deine Antwort. Oberhalb meinte ich auch, hab mich da falsch ausgedrückt. Die Passwörter sind natürlich gehashed. Aber ist es nicht so das der Server ohnehin keine .htpasswd Dateien ausliefert?
    Feuerstern ist offline

  4. #4 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Zitat Zitat von Feuerstern Beitrag anzeigen
    Danke für deine Antwort. Oberhalb meinte ich auch, hab mich da falsch ausgedrückt. Die Passwörter sind natürlich gehashed. Aber ist es nicht so das der Server ohnehin keine .htpasswd Dateien ausliefert?
    Idealerweise nicht. Nein. Aber Fehler passieren.
    Lookbehind ist offline

  5. #5 Zitieren
    Knight Avatar von Opodeldox
    Registriert seit
    Mar 2015
    Ort
    Berlin
    Beiträge
    1.195
    Das Risiko ist eine Fehlkonfiguration, die alle deine Passwörter Leaked. Alternativ kann jemand der Kontrolle über deine Scripte hat z. B. per PHP neue Logins anlegen, ohne dass du es merkt. Darum sollte die Datei irgendwo liegen, wo es das Risiko nicht gibt.
    “If it is not right do not do it; if it is not true do not say it.” ― Marcus Aurelius

    Opodeldox ist offline

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •