[linux-l] htaccess-Konzept
Volker Diels-Grabsch
v at njh.eu
Di Jul 28 12:09:31 CEST 2015
Hallo Olaf,
das ist ein typisches Blacklist/Whitelist Problem.
In dem Zusammenhang vielleicht ganz interessant:
https://news.ycombinator.com/item?id=9952356
http://www.jamiembrown.com/blog/one-in-every-600-websites-has-git-exposed/
Wenn du erst einmal vollen Zugriff auf alles erlaubst, und dann
Ausnahme-Regeln einbaust, musst du immer prüfen, ob die wirklich
greifen. Und das ist bei ".htaccess"-Dateien leider schon system-
bedingt.
Besser ist es, wenn du ein Public-Verzeichnis als Docroot hast,
wo wirklich nur öffentliches Zeug drin ist. Alles Geschützte
packst du daneben, und nicht in den Public-Ordner selbst.
Dann ist das Geschützte per Default erstmal nicht erreichbar, und du
musst im Webserver explizite Erlaubnis dafür einrichten. Das geht
(AFAIK) nicht mit .htaccess-Dateien. Aber für alles Ersthafte
konfiguriere ich sowieso lieber meinen Nginx (bzw. hier Apache)
selbst.
Das heißt, du hast zwei Ordner nebeneinander:
public/
...
secret/
...
Und im Apache richtest du grob das hier ein:
DocumentRoot /path/to/public
Alias /secret /path/to/secret
<Directory /path/to/public>
# alles erlauben
</Directory>
<Directory /path/to/secret>
# nur per HTTP-Auth erlauben
</Directory>
Alternativ kannst du auch mit "<Location>" arbeiten, aber
dann hast du wieder das Problem, dass durch Weglassen eines
Konfigurationsbereichs dein Schutz verschwindet.
Trotzdem ist es auch URL-basiert möglich, wenn du damit leben
kannst, dass all dein public-Zeug erst einmal ".../public/..."
in der URL zu stehen hat:
DocumentRoot /path/to/some/dummy/site
Alias /public /path/to/public
Alias /secret /path/to/secret
<Location /public>
# alles erlauben
</Directory>
<Location /secret>
# nur per HTTP-Auth erlauben
</Directory>
Gruß
Volker
Olaf Radicke schrieb:
> Hi,
>
> sagt mal habe ich die Genialität des htaccess-Konzept in Apache nicht begriffen,
> oder ist das wirklich so sch**** wie es mir erscheint. Ich hatte jetzt schon des
> öfteren das Problem in der Vergangenheit, das durch eine Fehlkonfiguration (z.T.
> banalste Fehler) der Schutz nicht mehr gegriffen hat.
>
> Ich finde es absurd, das im Zweifelsfall der Zugriffsschutz über Bord geworfen
> wird. Das ist doch so, als würde ein Türschloss schon aufspringen, wenn der
> Schlüssel noch nicht mal richtig drinnen steckt - um mal ein Bild zu verwenden.
>
> Ich habe aber bisher noch keine Alternative zu htaccess gefunden.
>
> Gruß
>
> Olaf
> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> Die Mailingliste der BeLUG (Berliner Linux User Group)
>
> Wenn du diese Mailingliste abbestellen willst, gehe bitte auf
> https://mlists.in-berlin.de/mailman/listinfo/linux-l-mlists.in-berlin.de
> und trage dich dort bitte aus
--
Volker Diels-Grabsch
----<<<((()))>>>----
Mehr Informationen über die Mailingliste linux-l