✔ .htaccess Passwortabfrage

[Psychodelics]

Hi,

weiß jemand, was passiert, wenn die .htaccess-Datei versucht das Passwort aus einer Datei auszulesen, aber diese Datei nicht existiert?

Also wenn ich ein Verzeichnis mit .htaccess schütze, und dann die Passwortdatei lösche, wird dann jeglicher Zugriff abgewiesen?

Gruß, Adnan

 

[Sven Mintel]

Moin,

Es sollte zuerst die Passwortabfrage kommen und dann ein Error500 (wegen der fehlenden Datei)
Zugriff sollte also nicht möglich sein.

 

[Psychodelics]

Hi Sven,

danke für die Antwort. So dacht ich mir das auch. Ich denke, dass es dann im Allgemeinen besser ist, einfach Verzeichnisse auf die Weise vor unbefugten Zugriffen zu schützen.

Gruß, Adnan

 

[Sven Mintel]

Nö, das ist in keinster Weise besser oder gut.

Wenn der Zugriff auf eine Datei untersagt ist, sollte das dem Clienten durch den korrekten Fehlercode 403 signalisiert werden, was dann nicht der Fall wäre.
Wenn du ein Verzeichnis schützen willst, schütze es durch die dafür vorgesehene Deny-Direktive.

 

[Psychodelics]

Ahh okay danke.

Hab da mal gegoogelt.

Reicht es also, wenn ich in meine .htaccess-Datei eldiglich folgende Zeilen schreibe?

Order deny,allow
Deny from all

Fehlt da noch was, oder reicht auch nur die 2. Zeile

Es soll ja lediglich jeder Zugriff von außen abgewiesen werden.

Gruß, Adnan

 

[Sven Mintel]

Nö, so passt das

 

[Psychodelics]

Okay, danke^^

 

[Psychodelics]

Kann man dieses

Order deny,allow
Deny from all

eigentlich irgendwie umgehen oder ist das sicher?

Gruß, Adnan

 

[Sven Mintel]

Das kann man nicht umgehen.