Seite 2 von 2
Verfasst: 16.01.2008 09:46
von djchrisnet
Der gepostete Dateinhalt gehört ja auch in die .htaccess in den root. Ordner.
Nutze am besten den
hier verlinkten .htaccess & .htpasswd Generator. Dort ist alles genau beschrieben!
Verfasst: 16.01.2008 14:23
von ill66
langsam, langsam bitte!^^°
also die .htaccess mit o.g. inhalt befindet sich ja schon im hauptverzeichniss (oder gibts da noch nen extra /root-ordner? bin grad auf arbeit und kann nicht nachschauen)
und was genau soll ich mit der htaccess machen (bzw mit dem generator)? bietet das einfach nochmal einen zusätzlichen (sichereren?) PW-schutz für den admin-bereich?
Verfasst: 16.01.2008 14:36
von djchrisnet
Dieser Passwortschutz ist der sicherste, meiner Meinung nach. Dateien mit dem .ht am anfang werden vom Server per http nicht ausgeliefert, deshalb kann auch keiner direkt drauf zugreifen.
Ausserdem können Name % PW frei gewählt werden. Wenn du z.B.:
Name: 12 Zeilen in Groß und Kleinschreibung, davon 3 Sonderzeichen und 2 Nummen.
PW: 12 Zeilen in Groß und Kleinschreibung, davon 3 Sonderzeichen und 2 Nummern
Sollte es für eine Bruteforceattacke über 800-1000 Jahre dauern bis der "Hacker" in das verzeichniss kommt. (bei heutiger gehobener Rechnenleistungsstandard eines Pcs).
Zum root-Ordner: Das ist das verzeichniss, indem dein gesammtes Forum liegt. die .htaccess Datei solltest du auch dort lassen. Es war nur ein Beispiel.
Verfasst: 09.02.2008 17:44
von ill66
war länger anderweitig beschäftigt und bin jetzt erst dazu gekommen, das mal auszuprobieren.
leider klappt es nur bis zur hälfte
in meinem adm-rodner hab ich jetzt eine .htaccess mit inhalt:
Code: Alles auswählen
AuthType Basic
AuthName "Keep Out"
AuthUserFile /ordner/phpBB3/adm/.htpasswd
require valid-user
und im selben ordner die .htpasswd steht:
wenn ich jetzt in den adminbereich will, kommt der einlogg-dialog, aber wenn ich dann meinen nutzernamen und das (natürlich uncodierte) PW eingebe, kommt das eingabefeld direkt nochmal :\
habs auch mit verschiedenen PWs versucht und statt dem generator aus dem link oben (der ja nur recht kurze PWs zulässt) den von selfHTML benutzt -- aber alles ohne erfolg. was mach ich falsch?
Verfasst: 09.02.2008 17:46
von Dr.Death
Kommt nun die HTACCESS Abfrage-Maske oder die Adminmaske vom phpBB3 Forum ?
Wenn die HTACCESS Abfrage-Maske erschienen ist, hast Du aber als Benutzernamen "admin" benutzt, oder ?
Verfasst: 09.02.2008 18:03
von ill66
ja, die htaccess-maske kommt.
als benutzername hab ich den eingegeben, der in der htpasswd steht
Verfasst: 12.02.2008 02:12
von ill66
ein kollege hat mir das jetzt freundlicherweise eingerichtet.
aaaber: jetzt muss ich mich ja trotzdem auch noch 2x über das forum ein loggen (einmal mit dem admin-account an sich, und dann bei klick auf den ACP-link nach dem htaccess-login nochmal).
ich hatte das so gedacht/verstanden, dass das (2te mal, wo das forum ja das PW nicht speichert) dann wegfiele.
kann man das irgendwie so einstellen? (also nur noch einloggen mit admin im forum und dann fürs ACP einloggen über htaccess)?
Verfasst: 12.02.2008 07:08
von Dr.Death
Nein, die HTACCESS Abfrage ist ein "zusätzlicher" Schutz .... kein Ersatz.
Verfasst: 12.02.2008 17:07
von ill66
so ein mist
jetzt bin ich im zwiespalt, ob ich dem komfort oder der höheren sicherheit den vorzug geben soll^^°