Results 1 to 5 of 5

.htpasswd im selben Verzeichnis wie .htaccess für Verzeichnisschutz

  1. #1 Reply With Quote
    Veteran Feuerstern's Avatar
    Join Date
    Sep 2007
    Posts
    627
    Hallo Zusammen,
    spricht etwas dagegen eine .htpasswd Datei im selben Verzeichnis zu platzieren wie die .htaccess Datei wenn der gesamte Bereich (also ab der .htaccess Datei) geschützt sein soll?
    Ich meine mal vor längerer Zeit irgendwo gelesen zu haben das die .htpasswd in einem Unterverzeichnis liegen sollte, aber kann den Grund dafür nicht nachvollziehen. Auf die .htpasswd Datei sollte von außen eig sowieso niemand Zugriff haben und das gesamte Verzeichnis ist dazu noch gesperrt.

    Viele Grüße
    Feuerstern is offline

  2. #2 Reply With Quote
    Tieftöner  Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    14,666
    Wenn, dann sollte die .htpasswd eher außerhalb des Document-Root liegen, also eher oberhalb der .htaccess (eben so weit oberhalb, dass der Webserver sich eh weigert sie aus zu liefern).

    Idealerweise hasht man die Passwörter darin auch.
    Lookbehind is offline

  3. #3 Reply With Quote
    Veteran Feuerstern's Avatar
    Join Date
    Sep 2007
    Posts
    627
    Danke für deine Antwort. Oberhalb meinte ich auch, hab mich da falsch ausgedrückt. Die Passwörter sind natürlich gehashed. Aber ist es nicht so das der Server ohnehin keine .htpasswd Dateien ausliefert?
    Feuerstern is offline

  4. #4 Reply With Quote
    Tieftöner  Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    14,666
    Quote Originally Posted by Feuerstern View Post
    Danke für deine Antwort. Oberhalb meinte ich auch, hab mich da falsch ausgedrückt. Die Passwörter sind natürlich gehashed. Aber ist es nicht so das der Server ohnehin keine .htpasswd Dateien ausliefert?
    Idealerweise nicht. Nein. Aber Fehler passieren.
    Lookbehind is offline

  5. #5 Reply With Quote
    Knight Opodeldox's Avatar
    Join Date
    Mar 2015
    Posts
    1,103
    Das Risiko ist eine Fehlkonfiguration, die alle deine Passwörter Leaked. Alternativ kann jemand der Kontrolle über deine Scripte hat z. B. per PHP neue Logins anlegen, ohne dass du es merkt. Darum sollte die Datei irgendwo liegen, wo es das Risiko nicht gibt.
    “And if all others accepted the lie which the Party imposed—if all records told the same tale—then the lie passed into history and became truth. 'Who controls the past' ran the Party slogan, 'controls the future: who controls the present controls the past.” ― George Orwell, 1984
    Opodeldox is offline

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •