Zutritt verboten

Teil 3: [Workshop] Zugangskontrolle per .htaccess - Mehr Sicherheit

Dateizugriff einschränken

Wenn Sie in der .htaccess-Datei keine weiteren Einschränkungen machen, so ist das komplette Verzeichnis, in welchem sich die Konfigurationsdatei befindet, gegen den Zugriff geschützt. Sie können den Zugriffsschutz jedoch auch granularer gestalten. Dafür stehen Ihnen die Optionen <Limit> und <Files> zur Verfügung.

Mit <Files> können Sie Regeln definieren, die sich auf Dateien oder Dateitypen beziehen. Der Aufbau ist der folgende:

<Files mein.txt>
deny from all</Files>

Mit dieser Einschränkung darf niemand auf die Datei mein.txt zugreifen. Das umgekehrte Ergebnis erreichen Sie mit dem Befehl allow from all - damit geben Sie explizit allen Besuchern Ihrer Website den Zugriff auf die Datei mein.txt.

Erweitert gibt es auch die Option, nicht nur einzelne Dateien, sondern auch komplette Dateigruppen auszuschließen, die einem bestimmten Muster entsprechen. Dazu verwenden Sie die Direktive <FilesMatch>.

<FilesMatch
"^(dev|test)\.js$">
AuthName "Geschützte
Dateien"
AuthType Basic
AuthUserFile /usr/
.htusers
Require valid-user</FilesMatch>

Alle Dateien vom Dateityp js und mit dem Namen dev oder test benötigen einen gültigen Benutzer, damit auf sie zugegriffen werden kann. Die Definition des Suchstrings erlaubt auch die Verwendung verschiedener Platzhalter: ein Fragezeichen ? ersetzt genau kein oder ein Zeichen, ein Asterisk * eine beliebig lange Zeichenkette.

Zugangskontrolle per .htaccess

© Archiv

Der unter AuthName gesetzte Name taucht im Popup bei der Abfrage der Zugangsdaten wieder auf.

Zugriffe explizit regeln

Neben der exakten Regelung für Dateien oder Dateitypen können Sie auch Zugriffsregeln für benannte Dateiverzeichnisse erstellen. Sie müssen nicht zwingend notwendig die .htaccess-Datei in jedes Verzeichnis kopieren. Dazu stehen Ihnen - analog zu den Dateien - zwei Direktiven zur Verfügung: <directory> und <directorymatch>.

Die Verwendung erfolgt analog den bereits beschriebenen Mustern <files> und <filesmatch>. Der Apache Server setzt für alle Verzeichnisse im Standard ein volles Zugriffsrecht über die Directory-Direktive Allow from All.

<Directory />
Order Deny,Allow
Deny from All</Directory>

Die folgende Definition kehrt dieses ins Gegenteil um und schließt erst einmal alles aus. Im nächsten Schritt können Sie dann explizit für die Verzeichnisse, die Sie zum Zugriff freigeben möchten, dies individuell über Definitionen regeln. Bei diesen Festlegungen sollten Sie beachten, dass innerhalb von .htaccess definierte Zugriffsfolgen festgelegt sind. Die Konfigurationsdatei erlaubt eine hierarchisch aufgebaute Zugriffskontrolle mit folgenden Direktiven:

Mehr zum Thema

HTML5: Quick Reference Guide
Ratgeber: "HTML5"

Die wichtigsten Tags auf einen Blick: In unserem praktischen Arbeitsblatt finden Sie einen wertvollen Begleiter für die Umstellung Ihrer Webprojekte…
internet, webdesign, google, content, ranking, seo, suchmaschine
Ratgeber: Urheberrecht

Einzigartige Inhalte bieten Lesern Mehrwert und sind ein wichtiges Qualitätsmerkmal. Ärgerlich, wenn sich jemand durch Kopieren an fremden Ergebnissen…
Die besten HTML5-Tipps
Neue Tipps & Tricks für blitz.io

Wer die Leistung einer Applikation ermitteln möchte, braucht keine Skripte zu schreiben, sondern kann einen der zahlreichen Online-Dienste einspannen.…
image.jpg
Ratgeber: Webentwicklung

Die clientseitige Javascript-Entwicklung bietet fast keine Entwicklungsumgebungen und auch keine vernünftigen Werkzeuge zur Fehlersuche. Eine der…
internet, webdesign, meteor, webapplikationen
Ratgeber

Mit Meteor sollen Entwickler in kurzer Zeit Umgebungen für Webapplikationen erstellen können, ohne sich um lästige Details kümmern zu müssen. Wir…