Zutritt verboten

[Workshop] Zugangskontrolle per .htaccess - Mehr Sicherheit

Die Datei .htaccess bietet eine einfache und dennoch wirksame Zugangskontrolle für Ihre Website. Der Workshop zeigt die Möglichkeiten und Methoden.

Schloss Sicherheit

© Archiv

Schloss Sicherheit

Mit einem überschaubaren Aufwand können Sie Verzeichnisse oder Dateien auf Ihrem Webserver mit einem Passwort schützen. Der Passwortschutz per .htaccess gilt als sicher, Sie sollten jedoch einige Dinge dabei beachten:• Das Passwort und der Benutzername werden bei Verwendung von .htaccess unverschlüsselt übertragen. • Die Datei .htaccess darf nicht über den Webbrowser aufrufbar sein. Testen Sie auf jeden Fall bei der Einrichtung, ob Sie die Datei über Ihren Browser aufrufen können. Ändern Sie gegebenenfalls die Zugriffsmöglichkeiten, falls Ihr Provider diese Option bietet. • Alle Personen, die einen FTP-Zugang auf das entsprechende Verzeichnis Ihres Webservers besitzen, können die Dateien einsetzen und somit die Benutzer und Passwörter verändern.

Sie können die Benutzer und Passwörter entweder direkt in einer Datei verwalten, oder dazu die Gruppendatei .htgroups sowie die Benutzerdatei .htuser oder .htpasswd verwenden. Damit haben Sie die Option, verschiedene Gruppen zu definieren und diesen unterschiedliche Zugriffsrechte zuweisen, können aber auch die Verwaltung von allgemeinen Einstellungen und Benutzern samt deren Passwörtern trennen. Eine .htaccess sieht beispielsweise so aus:

AuthType Basic
AuthName "HomesweetHome"
AuthUserFile /usr/.htusers
AuthGroupFile /usr/.htgroups
Require user Andreas
Require group InternetMag

Der Standard für die Authorisierung ist die Basic-Variante. Dabei werden die Benutzer und Passwörter in einer Textdatei abgelegt. Die Passwörter werden mit dem Standard crypt-Befehl verschlüsselt, wobei dieser leicht zu knacken ist. Ein hinreichender Schutz ist somit nicht gegeben. Eine Alternative mit höherer Sicherheit bietet die MD5 Digest Authentifikation.

AuthType Digest

Diese wird jedoch nicht von allen älteren Browsern unterstützt - der Internet Explorer unterstützt dieses Verfahren jedoch bereits ab Version 5, der Firefox Browser ab Version 1.x. Das dazu notwendige Apache Modul mod_auth_digest ist jedoch nicht bei allen Providern installiert. Wenn Sie nach der Implementierung eine Fehlermeldung erhalten, dass die Webseite nicht erreichbar ist, ändern Sie den AuthType auf Basic und versuchen Sie es erneut.

Eine dritte Variante ist die Speicherung der Daten in MySQL. Dafür nutzen Sie auch den Parameterwert Basic und steuern die Authentifizierung über das Apache Modul mod_auth_mysql.

Zugriff und Zusatzinformationen

Mit AuthName definieren Sie den Namen des geschützten Bereichs. Dieser kommt wieder bei der Abfrage des Passworts zum Tragen und erscheint dort im Popup-Fenster. Die beiden Parameter AuthUserFile und AuthGroupFile weisen den Weg zur Datei der zugelassenen Benutzer inklusive verschlüsseltem Passwort und zur Datei der Gruppenzuordnung.

Wenn Sie Ihre Website bei einem Provider hosten und sich nicht über den absoluten Pfad im Klaren sind, dann können Sie diesen mit einem einfachen PHP-Skript herausfinden.

echo $_SERVER['DOCUMENT_ROOT'];
phpinfo();

Mehr zum Thema

HTML5: Quick Reference Guide
Ratgeber: "HTML5"

Die wichtigsten Tags auf einen Blick: In unserem praktischen Arbeitsblatt finden Sie einen wertvollen Begleiter für die Umstellung Ihrer Webprojekte…
internet, webdesign, google, content, ranking, seo, suchmaschine
Ratgeber: Urheberrecht

Einzigartige Inhalte bieten Lesern Mehrwert und sind ein wichtiges Qualitätsmerkmal. Ärgerlich, wenn sich jemand durch Kopieren an fremden Ergebnissen…
Die besten HTML5-Tipps
Neue Tipps & Tricks für blitz.io

Wer die Leistung einer Applikation ermitteln möchte, braucht keine Skripte zu schreiben, sondern kann einen der zahlreichen Online-Dienste einspannen.…
image.jpg
Ratgeber: Webentwicklung

Die clientseitige Javascript-Entwicklung bietet fast keine Entwicklungsumgebungen und auch keine vernünftigen Werkzeuge zur Fehlersuche. Eine der…
internet, webdesign, meteor, webapplikationen
Ratgeber

Mit Meteor sollen Entwickler in kurzer Zeit Umgebungen für Webapplikationen erstellen können, ohne sich um lästige Details kümmern zu müssen. Wir…