Antworten zum Thema „.htaccess funktioinert leider nicht“

[bizzylee]

hi !
ich bin gerade dabei sicherheitstechnisch bissl was für meine website, die ich am erstellen bin, zu tun.
beschäftige mich gerade mit htaccess und komme leider nicht weiter.

habe verschiedene dinge ausprobeirt, die mir google "vorgeschlagen" hat.

htaccess dateien mit folgendem inhalt:

order deny,allow
deny from all
allow from all
Options -Indexes

<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
Options Indexes
order deny,allow

Deny from all
<FilesMatch "index.php" >
    allow from all
</FilesMatch>

keine variante funktioniert.
mein ziel ist es die index - datei in einem öffentlichen verzeichnis zugänglich zu lassen und die anderen verzeichnisse samt der darin enthaltenen dateien unzugänglich zu machen, während das index script sowie alle anderen scripte zugang zu den anderen scripten haben sollen, damit die website auch funktioniert.

und zwar in etwa so

hauptordner/unterordner/unzugänglichedateien
hauptordner/index.php

oder aber so

hauptordner/unterordner(unzugänglichedateien)/index.php
hauptordner/unterordner/unzugänglichedateien

auch was die "seitenbaumstruktur" angeht die frage an die experten: welche variante ist besser / sicherer bzw. wie sollte die struktur optimalerweise aussehen ?

ich wäre euch sehr dankbar, wenn ihr mir helfen könntet !

mfg

 

[essdreipro]

AW: .htaccess funktioinert leider nicht

hast Du schon einen .htaccess-Generator ausprobiert..?

 

[ovbb]

AW: .htaccess funktioinert leider nicht

hi !

order deny,allow
[B]deny from all
allow from all[/B]
Options -Indexes

htaccess ist zwar schon eine weile her aber die zwei zeilen sollten sich nach allgemeiner logik aufheben. erster untersagst du von überall her den zugang und dann gewährst du ihn wieder!?

 

[bizzylee]

AW: .htaccess funktioinert leider nicht

ja habe ich auch gerade gesehen und habe es entsprechend geändert.
sieht jetzt wie folgt aus .

order deny,allow
deny from all
Options Indexes
order deny,allow

es scheint jetzt als würde der zugriff auf das verzeichnis sowie auf die darin enthaltenen dateien verweigert.
ich schau jetzt mal, ob die scripte aber trotzdem zugriff auf einander haben ..

 

[ovbb]

AW: .htaccess funktioinert leider nicht

denk mal, dass das zweite "order deny,allow" auch weg kommt.

 

[ovbb]

AW: .htaccess funktioinert leider nicht

glaub ich hab was für dich gefunden da es mich jetzt auch brennend interessiert hat.

Mein gedanke war, dass ja der Orner oder das Script nur von deiner Seite aus aufrufbar sein soll also könnte man das über die IP regeln.

http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#allow

 

[bizzylee]

AW: .htaccess funktioinert leider nicht

hmm .. okay .. aber das funktiert jetzt so. also der zugriff wird an sich verweigert, jedoch die scripte können ganz norml mit einander kommunizieren.
sollte das zweite order deny, allow trotzdem weg ? bzw. auch wenn das jetzt so funktioniert wie es soll - kann man den code so lassen ( mit oder ohne das zweite "order deny, allow" ) ? ist das sicher genug ?

wie sollte die seitenstruktur optimalerweise sein?

lieber so, dass die unzugänglichen dateien in einem übergeordneten ordner sind:

hauptordner/unterordner(unzugänglichedateien)/index.php
hauptordner/unterordner/unzugänglichedateien

oder dass sie in einem untergeordneten ordner sind:

hauptordner/unterordner/unzugänglichedateien
hauptordner/index.php

vielen dank für eure schnellen tipps bisher !


edit:
ovbb hört sich an sich nach ner interessanten überlegung an, aber mit dem von mir geänderten code funktioniert es jetzt ..

 

[ovbb]

AW: .htaccess funktioinert leider nicht

freu mich, dass es jetzt mal so funktioniert. bin leider in sachen apache leider nicht so bewandert. soltlest aber dda ganzen noch weiter verfolgen.

zb wegen:
- kann man direkt aufs script zugreifen (über URI wenn man die kennt)?
- kann man dadurch vielleicht die eigentliche funktion manipulieren?
- wie hoch ist der sicherheitsgedanke?
- gibt es sensible daten die verarbeitet werden?
- usw.

du siehst, dass das thema sicherheit sehr breit gefächert ist ... kommt auf deine anforderungen an und wie paranoid du bist muss gestehen, dass durch mein laufendes studium viele gedanken hinzugekommen sind und ich meine ersten systeme niemanden mehr zeigen würde. schweizer käse mit rießigen löchern und so

 

[bizzylee]

AW: .htaccess funktioinert leider nicht

ja du hast recht, diese ganzen gedanken sollte man sich unbedingt machen und ja ich bin doch recht paranoid :s .. und würde es gerne so sicher wie möglich machen, da es sich um eine shop seite handelt, über die ich sachen verkaufen werde, sprich es geht um geld und da muss halt sicherheit vorhanden sein.
also was die url angeht, das geht nicht, habe ich schon ausprobiert, wenn man die kennt und eingibt, bekommt man ne zugriff verweigert fehlerseite ..

was würdest du zur seitenbaumstruktur sagen / empfehlen ?

 

[Duddle]

AW: .htaccess funktioinert leider nicht

Kannst du bitte etwas genauer beschreiben, was du wie schützen möchtest?

Soll grundsätzlich jede .php-Datei erlaubt sein? Oder nur die index.php? Gilt das für alle Ordner oder nur vorher festgelegte?
Was genau soll dem Nutzer verboten werden, was der Seite erlaubt wird?


Duddle

 

[bizzylee]

AW: .htaccess funktioinert leider nicht

ich hab mir das so gedacht:

hauptordner/index.php
hauptordner/seite1.php
hauptordner/seite2.php usw.


hauptordner/unterordner/funktionalität.php
hauptordner/unterordner/funktionalität2.php usw.

die "hauptseiten" im hauptordner sollen zugänglich sein, die dateien ( v.a. php-dateien ), die für die funktionalität der seiten verantwortlich sind sollen nur für die hauptseiten zugänglich sein, jedoch nicht manipuliert werden können von irgendwelchen spaßvögeln ...

edit:
ich habe das im moment so geregelt:

<FilesMatch "name.css" >
allow from all
</FilesMatch>
<FilesMatch "seite1.php" >
allow from all
</FilesMatch>
<FilesMatch "seite2.php" >
allow from all
</FilesMatch>

das klappt jetzt an sich.
es hat sich folgendes problem ergeben: wenn man auf seite1.php ist, welche eine datei includet/required z.b. funktionalität1.php, welche per click daten an eine weitere seite gibt z.b. weiterleitung1.php, welche zu einer zweiten weiterleitungsseite z.b. weiterleitungsseite2.php führt, welche wiederum zurück zu seite1.php weiterleitet ( weiterleitungen über header ), funktioniert das nicht .. da kommt ne zugriff verweigert fehlerseite ..
müsst ich funktionalität1.php und weiterleitungsseite1+2 auch wie oben freigeben ? dann würde der schutz über htaccess doch keinen sinn mehr machen oder ? könnte man diese seiten dann nicht u.U. wieder manipulieren, da z.b. der zugriff nicht verweigert wird ?

edit:

hab das jetzt so hinbekommen:
die weiterleitungsseiten/-dateien habe ich wie oben freigegeben, in diesen stehen allerdings nicht mehr die codes, die für die funktionalität verantwortlich sind, sondern hier werden jetzt neue dateien eingebunden, die wiederum die wichtigen codes enthalten.
so sind die codes denk ich mal geschützt von außen bzw. nicht mehr zugänglich, allerdings die weiterleitungsdateien, die freigegeben sind, können, dadurch dass die neuen dateien mit den wichtigen codes eingebunden sind, mit diesen neuen dateien kommunizieren und die funktionen und weiterleitungen usw. laufen wieder ..
denk ich da richtig, dass jetzt die funktionalität gschützt ist vor manipulation von außen und gleichzeitig gewahrt, sodass die website uneingeschränkt funktionieren kann ?

 

[ovbb]

AW: .htaccess funktioinert leider nicht

rück mal den link zur seite raus ... vielleicht findet sich ja das eine oder ander loch

 

[bizzylee]

AW: .htaccess funktioinert leider nicht

liebend gerne, sobald die seite soweit ist, dass ichs mit meinem schamgefühl vereinbaren kann