Zutritt verboten
[Workshop] Zugangskontrolle per .htaccess - Mehr Sicherheit
Die Datei .htaccess bietet eine einfache und dennoch wirksame Zugangskontrolle für Ihre Website. Der Workshop zeigt die Möglichkeiten und Methoden.
- [Workshop] Zugangskontrolle per .htaccess - Mehr Sicherheit
- Teil 2: [Workshop] Zugangskontrolle per .htaccess - Mehr Sicherheit
- Teil 3: [Workshop] Zugangskontrolle per .htaccess - Mehr Sicherheit
- Teil 4: [Workshop] Zugangskontrolle per .htaccess - Mehr Sicherheit
- Teil 5: [Workshop] Zugangskontrolle per .htaccess - Mehr Sicherheit
Mit einem überschaubaren Aufwand können Sie Verzeichnisse oder Dateien auf Ihrem Webserver mit einem Passwort schützen. Der Passwortschutz per .htaccess gilt als sicher, Sie sollten jedoch einige Dinge dabei beachten:• Das Passwort und der Benutzername werden bei Verwendung von .htaccess unverschlüsselt übertragen. • Die Datei .htaccess darf nicht über den Webbrowser aufrufbar sein. Testen Sie auf jeden Fall bei der Einrichtung, ob Sie die Datei über Ihren Browser aufrufen können. Ändern Sie gegebenenfalls die Zugriffsmöglichkeiten, falls Ihr Provider diese Option bietet. • Alle Personen, die einen FTP-Zugang auf das entsprechende Verzeichnis Ihres Webservers besitzen, können die Dateien einsetzen und somit die Benutzer und Passwörter verändern.
Sie können die Benutzer und Passwörter entweder direkt in einer Datei verwalten, oder dazu die Gruppendatei .htgroups sowie die Benutzerdatei .htuser oder .htpasswd verwenden. Damit haben Sie die Option, verschiedene Gruppen zu definieren und diesen unterschiedliche Zugriffsrechte zuweisen, können aber auch die Verwaltung von allgemeinen Einstellungen und Benutzern samt deren Passwörtern trennen. Eine .htaccess sieht beispielsweise so aus:
AuthType Basic
AuthName "HomesweetHome"
AuthUserFile /usr/.htusers
AuthGroupFile /usr/.htgroups
Require user Andreas
Require group InternetMag
Der Standard für die Authorisierung ist die Basic-Variante. Dabei werden die Benutzer und Passwörter in einer Textdatei abgelegt. Die Passwörter werden mit dem Standard crypt-Befehl verschlüsselt, wobei dieser leicht zu knacken ist. Ein hinreichender Schutz ist somit nicht gegeben. Eine Alternative mit höherer Sicherheit bietet die MD5 Digest Authentifikation.
AuthType Digest
Diese wird jedoch nicht von allen älteren Browsern unterstützt - der Internet Explorer unterstützt dieses Verfahren jedoch bereits ab Version 5, der Firefox Browser ab Version 1.x. Das dazu notwendige Apache Modul mod_auth_digest ist jedoch nicht bei allen Providern installiert. Wenn Sie nach der Implementierung eine Fehlermeldung erhalten, dass die Webseite nicht erreichbar ist, ändern Sie den AuthType auf Basic und versuchen Sie es erneut.
Eine dritte Variante ist die Speicherung der Daten in MySQL. Dafür nutzen Sie auch den Parameterwert Basic und steuern die Authentifizierung über das Apache Modul mod_auth_mysql.
Zugriff und Zusatzinformationen
Mit AuthName definieren Sie den Namen des geschützten Bereichs. Dieser kommt wieder bei der Abfrage des Passworts zum Tragen und erscheint dort im Popup-Fenster. Die beiden Parameter AuthUserFile und AuthGroupFile weisen den Weg zur Datei der zugelassenen Benutzer inklusive verschlüsseltem Passwort und zur Datei der Gruppenzuordnung.
Wenn Sie Ihre Website bei einem Provider hosten und sich nicht über den absoluten Pfad im Klaren sind, dann können Sie diesen mit einem einfachen PHP-Skript herausfinden.
echo $_SERVER['DOCUMENT_ROOT'];
phpinfo(); 
