htaccess-Verschlüsselung

[D@nger]

Hallo,
ich habe es jetzt soweit gebracht, dass htaccess funktioniert, doch nur manchmal.
Z.B. funktioniert es mit folgender .htpasswd:
testuser:$apr1$ZFvLE...$aJXvoUKzJT4WPAm9Qr9Sc.
login: testuser
pw: testpasswort

Doch mit dieser funktioniert es nicht:
testuser:$1$Ejh19gVp$HHFOPvAsjUA5lgiMUCMfA/
login: testuser
pw: testpasswort

Warum sind die Passwort-Verschöüsselungen denn anders?
Die erste Verschlüsselung habe ich aus einem Forum kopiert. Womit verschlüsselt ihr eure Passwörter?

 

[Arne Buchwald]

Hallo,

htpasswd -b -c .htpasswd testuser testpassword

... einfach in der Shell im gewünschten Ordner ausführen.

 

[D@nger]

danke, gerade germerkt. Aber ich suche das für Windows und da geht es auch mit htpasswd im Apache-bin-Ordner.

 

[Sven Mintel]

Versuche mal, das PW unverschlüsselt anzugeben...

 

[D@nger]

Hallo,
stimmt, das klappt genauso, aber was bringt mir das denn? Ich möchte es verschlüsseln, es klappt ja jetzt, danke.

 

[Dr Dau]

Hallo!

.....Ich möchte es verschlüsseln.....

Warum?
Die .htpasswd gehört ausserhalb des htdocs Verzeichnis.
Oder haben etwa unberechtigte Personen Zugriff auf Deinen Server?!

So wird eine neue .htpasswd mit dem Benutzer "foo" und dem Passwort "bar" angelegt:

C:\apache\bin>htpasswd -b -c c:/apache/.htpasswd foo bar

So wird der Benutzer "foo" mit dem Passwort "bar" zu einer bereits bestehenden .htpasswd hinzugefügt.
Sollte es den Benutzer "foo" bereits geben, so wird ihm dass angegebene Passwort zugeteilt (Passwortänderung):

C:\apache\bin>htpasswd -b c:/apache/.htpasswd foo bar

Die Pfade zum "bin" Verzeichnis und/oder zur .htpasswd Datei ggf. anpassen.


Die .htaccess würde dann z.b. so aussehen (Pfad ggf. anpassen):

AuthType Basic
AuthName "Testzugang"
AuthUserFile C:/apache/.htpasswd
require valid-user

Ich persönlich würde trotzdem die unverschlüsselte Variante bevorzugen.

Gruss Dr Dau

 

[D@nger]

Hallo,
hm, ok vielen dank, aber mein lokaler Server liegt auf D:\Server.
Wenn ich jetzt D:\Server\ordner1\Ordner2 schützen möchte, wo kommt dann die htaccess rein? Kann sich die keiner ansehen?

 

[Sven Mintel]

Rein Prinzipiell:

Beim Apache kann auf Dateien mit einem Namen a'la .ht**** nicht über HTTP zugegriffen werden.

Die .htaccess muss in das Verzeichnis, welches du schützen willst, die .htpasswd kann da auch rein, sollte aber besser ausserhalb der Document-Root(htdocs)...man kann ja nie wissen :suspekt:

 

[Dr Dau]

.....die .htpasswd kann da auch rein, sollte aber besser ausserhalb der Document-Root(htdocs)...man kann ja nie wissen :suspekt:

Da habe ich mich wohl etwas blöde ausgedrückt.
Natürlich kann die .htpasswd in jedes beliebige Verzeichnis, da der Zugriff ja per default Konfiguration nicht möglich ist.
Aber wie Du schon sagst, man kann ja nie wissen.
Ich wollte damit lediglich ausdrücken dass die .htpasswd vorzugsweise (sofern die Möglichkeit besteht) ausserhalb des htdocs Verzeichnis abgelegt werden sollte.
Dann bleibt nämlich nurnoch der Weg an die .htpasswd zu kommen, in dem sich jemand (berechtigt oder unberechtigt) Zugriff zum System verschafft.
Das ist dann aber nicht mehr eine Frage der Konfiguration von Apache, sondern der Konfiguration des Systems.
Mit anderen Worten: ist das System nicht sicher, nützt auch die beste Apache Konfiguration nichts.

 

[D@nger]

Ok, vielen dank, jetzt dürfte alles klappen.