Antworten auf deine Fragen:
Neues Thema erstellen

.htaccess funktioinert leider nicht

bizzylee

Noch nicht viel geschrieben

hi !
ich bin gerade dabei sicherheitstechnisch bissl was für meine website, die ich am erstellen bin, zu tun.
beschäftige mich gerade mit htaccess und komme leider nicht weiter.

habe verschiedene dinge ausprobeirt, die mir google "vorgeschlagen" hat.

htaccess dateien mit folgendem inhalt:

Code:
order deny,allow
deny from all
allow from all
Options -Indexes


Code:
<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
Options Indexes
order deny,allow

Code:
Deny from all
<FilesMatch "index.php" >
    allow from all
</FilesMatch>

keine variante funktioniert.
mein ziel ist es die index - datei in einem öffentlichen verzeichnis zugänglich zu lassen und die anderen verzeichnisse samt der darin enthaltenen dateien unzugänglich zu machen, während das index script sowie alle anderen scripte zugang zu den anderen scripten haben sollen, damit die website auch funktioniert.

und zwar in etwa so

hauptordner/unterordner/unzugänglichedateien
hauptordner/index.php

oder aber so

hauptordner/unterordner(unzugänglichedateien)/index.php
hauptordner/unterordner/unzugänglichedateien

auch was die "seitenbaumstruktur" angeht die frage an die experten: welche variante ist besser / sicherer bzw. wie sollte die struktur optimalerweise aussehen ?

ich wäre euch sehr dankbar, wenn ihr mir helfen könntet !

mfg
 

E

essdreipro

Guest

AW: .htaccess funktioinert leider nicht

hast Du schon einen .htaccess-Generator ausprobiert..?
 

ovbb

es gibt für alles eine weg

AW: .htaccess funktioinert leider nicht

hi !
Code:
order deny,allow
[B]deny from all
allow from all[/B]
Options -Indexes

htaccess ist zwar schon eine weile her aber die zwei zeilen sollten sich nach allgemeiner logik aufheben. erster untersagst du von überall her den zugang und dann gewährst du ihn wieder!?
 

bizzylee

Noch nicht viel geschrieben

AW: .htaccess funktioinert leider nicht

ja habe ich auch gerade gesehen und habe es entsprechend geändert.
sieht jetzt wie folgt aus .

Code:
order deny,allow
deny from all
Options Indexes
order deny,allow

es scheint jetzt als würde der zugriff auf das verzeichnis sowie auf die darin enthaltenen dateien verweigert.
ich schau jetzt mal, ob die scripte aber trotzdem zugriff auf einander haben ..
 

ovbb

es gibt für alles eine weg

AW: .htaccess funktioinert leider nicht

denk mal, dass das zweite "order deny,allow" auch weg kommt.
 

bizzylee

Noch nicht viel geschrieben

AW: .htaccess funktioinert leider nicht

hmm .. okay .. aber das funktiert jetzt so. also der zugriff wird an sich verweigert, jedoch die scripte können ganz norml mit einander kommunizieren.
sollte das zweite order deny, allow trotzdem weg ? bzw. auch wenn das jetzt so funktioniert wie es soll - kann man den code so lassen ( mit oder ohne das zweite "order deny, allow" ) ? ist das sicher genug ?

wie sollte die seitenstruktur optimalerweise sein?

lieber so, dass die unzugänglichen dateien in einem übergeordneten ordner sind:

hauptordner/unterordner(unzugänglichedateien)/index.php
hauptordner/unterordner/unzugänglichedateien

oder dass sie in einem untergeordneten ordner sind:

hauptordner/unterordner/unzugänglichedateien
hauptordner/index.php

vielen dank für eure schnellen tipps bisher !


edit:
ovbb hört sich an sich nach ner interessanten überlegung an, aber mit dem von mir geänderten code funktioniert es jetzt ..
 
Zuletzt bearbeitet:

ovbb

es gibt für alles eine weg

AW: .htaccess funktioinert leider nicht

freu mich, dass es jetzt mal so funktioniert. bin leider in sachen apache leider nicht so bewandert. soltlest aber dda ganzen noch weiter verfolgen.

zb wegen:
- kann man direkt aufs script zugreifen (über URI wenn man die kennt)?
- kann man dadurch vielleicht die eigentliche funktion manipulieren?
- wie hoch ist der sicherheitsgedanke?
- gibt es sensible daten die verarbeitet werden?
- usw.

du siehst, dass das thema sicherheit sehr breit gefächert ist ... kommt auf deine anforderungen an und wie paranoid du bist :) muss gestehen, dass durch mein laufendes studium viele gedanken hinzugekommen sind und ich meine ersten systeme niemanden mehr zeigen würde. schweizer käse mit rießigen löchern und so :)
 

bizzylee

Noch nicht viel geschrieben

AW: .htaccess funktioinert leider nicht

ja du hast recht, diese ganzen gedanken sollte man sich unbedingt machen und ja ich bin doch recht paranoid :s :p .. und würde es gerne so sicher wie möglich machen, da es sich um eine shop seite handelt, über die ich sachen verkaufen werde, sprich es geht um geld und da muss halt sicherheit vorhanden sein.
also was die url angeht, das geht nicht, habe ich schon ausprobiert, wenn man die kennt und eingibt, bekommt man ne zugriff verweigert fehlerseite ..

was würdest du zur seitenbaumstruktur sagen / empfehlen ?
 

Duddle

Posting-Frequenz: 14µHz

AW: .htaccess funktioinert leider nicht

Kannst du bitte etwas genauer beschreiben, was du wie schützen möchtest?

Soll grundsätzlich jede .php-Datei erlaubt sein? Oder nur die index.php? Gilt das für alle Ordner oder nur vorher festgelegte?
Was genau soll dem Nutzer verboten werden, was der Seite erlaubt wird?


Duddle
 

bizzylee

Noch nicht viel geschrieben

AW: .htaccess funktioinert leider nicht

ich hab mir das so gedacht:

hauptordner/index.php
hauptordner/seite1.php
hauptordner/seite2.php usw.


hauptordner/unterordner/funktionalität.php
hauptordner/unterordner/funktionalität2.php usw.

die "hauptseiten" im hauptordner sollen zugänglich sein, die dateien ( v.a. php-dateien ), die für die funktionalität der seiten verantwortlich sind sollen nur für die hauptseiten zugänglich sein, jedoch nicht manipuliert werden können von irgendwelchen spaßvögeln ...

edit:
ich habe das im moment so geregelt:

<FilesMatch "name.css" >
allow from all
</FilesMatch>
<FilesMatch "seite1.php" >
allow from all
</FilesMatch>
<FilesMatch "seite2.php" >
allow from all
</FilesMatch>

das klappt jetzt an sich.
es hat sich folgendes problem ergeben: wenn man auf seite1.php ist, welche eine datei includet/required z.b. funktionalität1.php, welche per click daten an eine weitere seite gibt z.b. weiterleitung1.php, welche zu einer zweiten weiterleitungsseite z.b. weiterleitungsseite2.php führt, welche wiederum zurück zu seite1.php weiterleitet ( weiterleitungen über header ), funktioniert das nicht .. da kommt ne zugriff verweigert fehlerseite ..
müsst ich funktionalität1.php und weiterleitungsseite1+2 auch wie oben freigeben ? dann würde der schutz über htaccess doch keinen sinn mehr machen oder ? könnte man diese seiten dann nicht u.U. wieder manipulieren, da z.b. der zugriff nicht verweigert wird ?

edit:

hab das jetzt so hinbekommen:
die weiterleitungsseiten/-dateien habe ich wie oben freigegeben, in diesen stehen allerdings nicht mehr die codes, die für die funktionalität verantwortlich sind, sondern hier werden jetzt neue dateien eingebunden, die wiederum die wichtigen codes enthalten.
so sind die codes denk ich mal geschützt von außen bzw. nicht mehr zugänglich, allerdings die weiterleitungsdateien, die freigegeben sind, können, dadurch dass die neuen dateien mit den wichtigen codes eingebunden sind, mit diesen neuen dateien kommunizieren und die funktionen und weiterleitungen usw. laufen wieder ..
denk ich da richtig, dass jetzt die funktionalität gschützt ist vor manipulation von außen und gleichzeitig gewahrt, sodass die website uneingeschränkt funktionieren kann ?
 
Zuletzt bearbeitet:

ovbb

es gibt für alles eine weg

AW: .htaccess funktioinert leider nicht

rück mal den link zur seite raus ... vielleicht findet sich ja das eine oder ander loch :)
 

bizzylee

Noch nicht viel geschrieben

AW: .htaccess funktioinert leider nicht

liebend gerne, sobald die seite soweit ist, dass ichs mit meinem schamgefühl vereinbaren kann ;)
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden

Neueste Themen & Antworten

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Statistik des Forums

Themen
118.635
Beiträge
1.538.449
Mitglieder
67.556
Neuestes Mitglied
Ggirl
Oben