[linux-l] htaccess-Konzept

Volker Diels-Grabsch v at njh.eu
Di Jul 28 12:09:31 CEST 2015 

Hallo Olaf,

das ist ein typisches Blacklist/Whitelist Problem.
In dem Zusammenhang vielleicht ganz interessant:

    https://news.ycombinator.com/item?id=9952356
    http://www.jamiembrown.com/blog/one-in-every-600-websites-has-git-exposed/

Wenn du erst einmal vollen Zugriff auf alles erlaubst, und dann
Ausnahme-Regeln einbaust, musst du immer prüfen, ob die wirklich
greifen.  Und das ist bei ".htaccess"-Dateien leider schon system-
bedingt.

Besser ist es, wenn du ein Public-Verzeichnis als Docroot hast,
wo wirklich nur öffentliches Zeug drin ist.  Alles Geschützte
packst du daneben, und nicht in den Public-Ordner selbst.

Dann ist das Geschützte per Default erstmal nicht erreichbar, und du
musst im Webserver explizite Erlaubnis dafür einrichten.  Das geht
(AFAIK) nicht mit .htaccess-Dateien.  Aber für alles Ersthafte
konfiguriere ich sowieso lieber meinen Nginx (bzw. hier Apache)
selbst.

Das heißt, du hast zwei Ordner nebeneinander:

    public/
        ...
    secret/
        ...

Und im Apache richtest du grob das hier ein:

    DocumentRoot /path/to/public
    Alias /secret /path/to/secret

    <Directory /path/to/public>
       # alles erlauben
    </Directory>

    <Directory /path/to/secret>
       # nur per HTTP-Auth erlauben
    </Directory>

Alternativ kannst du auch mit "<Location>" arbeiten, aber
dann hast du wieder das Problem, dass durch Weglassen eines
Konfigurationsbereichs dein Schutz verschwindet.

Trotzdem ist es auch URL-basiert möglich, wenn du damit leben
kannst, dass all dein public-Zeug erst einmal ".../public/..."
in der URL zu stehen hat:

    DocumentRoot /path/to/some/dummy/site
    Alias /public /path/to/public
    Alias /secret /path/to/secret

    <Location /public>
       # alles erlauben
    </Directory>

    <Location /secret>
       # nur per HTTP-Auth erlauben
    </Directory>


Gruß
Volker


Olaf Radicke schrieb:
> Hi,
> 
> sagt mal habe ich die Genialität des htaccess-Konzept in Apache nicht begriffen,
> oder ist das wirklich so sch**** wie es mir erscheint. Ich hatte jetzt schon des
> öfteren das Problem in der Vergangenheit, das durch eine Fehlkonfiguration (z.T.
> banalste Fehler) der Schutz nicht mehr gegriffen hat. 
> 
> Ich finde es absurd, das im Zweifelsfall der Zugriffsschutz über Bord geworfen
> wird. Das ist doch so, als würde ein Türschloss schon aufspringen, wenn der
> Schlüssel noch nicht mal richtig drinnen steckt - um mal ein Bild zu verwenden.
> 
> Ich habe aber bisher noch keine Alternative zu htaccess gefunden.
> 
> Gruß
> 
> Olaf
> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> Die Mailingliste der BeLUG (Berliner Linux User Group)
> 
> Wenn du diese Mailingliste  abbestellen willst, gehe bitte auf
> https://mlists.in-berlin.de/mailman/listinfo/linux-l-mlists.in-berlin.de
> und trage dich dort bitte aus

-- 
Volker Diels-Grabsch
----<<<((()))>>>----

Mehr Informationen über die Mailingliste linux-l