apache webbserver + lösen

[duwd]

Hallå!
Jag kör apache webbserver installerat genom XAMPP-paketet.
Kan jag på något sätt lösenordsskydda mappen som ligger mot internet?
mao. när jag skriver in min adress i webbläsaren så vill jag att en login-ruta dyker upp. Just nu så kommer man direkt åt mappen som jag valt att använda.

Tack på förhand!

[Marwelln]

Googla på ".htaccess access" så får du fram hur du ska göra.

[ycc]

Tråden flyttad till servertavlan.

[andol]

http://httpd.apache.org/docs/2.2/howto/auth.html

[ycc]

Kanske lite OT, men det kan ju vara kul att veta ...

När jag reser bort blir jag tvungen att flytta min hemsida till ett webhotell. Jag har börjat prova deras .htaccess funktion. Man måste där lägga filen med lösenord (.htpasswd) i ett directory som "i princip" är åtkomligt från webben. (Ligger inte ovanför den s.k. dokumentroten utan i själva siten. Filens namn börjar alltså med en punkt.) Är detta ett säkerhetshål? Lösenorden är ju kodade och om någon på något sätt skulle kunna få fram filen så går det väl ändå inte att åvervinna lösenordet?

Det som ev. kan komma att avslöjas är vanligen inte mer än mina semesterbilder, men det kan ju vara bra att veta hur det funkar (Webhotellet har dessutom något annat sätt att skydda directories som jag inte satt mig in i ännu.)

[andol]

När jag reser bort blir jag tvungen att flytta min hemsida till ett webhotell. Jag har börjat prova deras .htaccess funktion. Man måste där lägga filen med lösenord (.htpasswd) i ett directory som "i princip" är åtkomligt från webben. (Ligger inte ovanför den s.k. dokumentroten utan i själva siten. Filens namn börjar alltså med en punkt.) Är detta ett säkerhetshål? Lösenorden är ju kodade och om någon på något sätt skulle kunna få fram filen så går det väl ändå inte att åvervinna lösenordet?

Jo, i princip är detta ett potentiellt säkerhetshål. Även om lösenordet är hashat/krypterat finns alltid möjligheten att något knäcker det genom en bruteforce-attack (pröva sig fram). Detta är mycket lättare att åstadkomma om man har en fil att jobba mot, jämfört med att upprätta en ny http-förbindelse för varje försök.

Vill du skydda in .htpasswd (och .htaccess) kan du placera följande instruktioner i din .htaccess

Kod: Markera allt

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>

[ycc]

Tack för det tydliga svaret och tipset. Jag misstänker att de tilläggsinstruktioner som du rekommenderar gör att man inte kan komma åt .ht* filerna? Utan att ännu ha inkluderat dessa instruktioner verkar det dock vid preliminär testning som om man i alla fall inte kan surfa till filer som börjar med "." vid det aktuella webhotellet?

[andol]

Japp, kodstycket blockerar mycket riktigt webbaccess till filer vars namn börjar på ".ht"

Låter fullt rimligt att webbhotellet kan ha konfigurerat sin webbserver att inte dela ut filer vars namn börjar på en punkt. Det är ytterst sällan man har något egentligt behov av att dela med sig utav dylika filer. Förövrigt så innehåller Ubuntus apachekonfiguration ovan nämnda kodstycke.