Seite 1 von 2
htaccess wo?
Verfasst: 18.07.2006 19:32
von kidrob
Habe eben ne htaccess in mein /admin/ - verzeichnis gepackt - klappt bestens-jetzt müsste ja mein Adminbereich bestens geschützt sein!?
In welchen Forenordnern ist diese Maßnahme noch sinnvoll?
Verfasst: 18.07.2006 20:06
von larsneo
/admin, /db und /includes kann ein .htaccess sicherlich gut tun, ggfs. noch /docs um keinen version disclosure zu haben...
thx
Verfasst: 18.07.2006 20:18
von kidrob
Perfekt! Danke!
hmm
Verfasst: 18.07.2006 20:35
von kidrob
Hi, Sorry, in /includes geht glaub nicht ganz, da wenn ich das da reinmach muss ich beim Aufrufen der Seite (Portal) auch die Zugangsdaten eingeben...
Lässts sich dass umgehen oder muss ich die htaccess dann wohl aus dem /includes-Verzeichnis rauslassen?
Verfasst: 18.07.2006 21:36
von S2B
Ich würde dir empfehlen, folgende .htaccess für die Ordner includes und db zu verwenden, denn da brauchst du ja keine Passwortabfrage:
Code: Alles auswählen
<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>
Wenn du allerdings in einem Ordner Dateien hast, die du direkt ausführen willst/musst (z.B. wenn du den AJAX-MOD installiert hast), müsstest du die .htaccess anpassen, z.B. so für das Blockieren von direkten Aufrufen auf php-Dateien:
Code: Alles auswählen
<Files "*.php">
Order Allow,Deny
Deny from All
</Files>
So kann man übrigens auch seine tpl-Dateien im templates-Ordner schützen:
Code: Alles auswählen
<Files "*.tpl">
Order allow,deny
Deny from all
</Files>
Verfasst: 19.07.2006 03:14
von cYbercOsmOnauT
Du hast da scheinbar was falsch verstanden S2B. Sein Problem ist es, das in seinem /includes-Verzeichnis sich nicht nur php-Dateien befinden, die inkludiert werden, sondern auch z.B. JavaScript-Dateien auf die einige Mods zugreifen (zum Beispiel der Calendar Pro MOD hat seine Grafiken und js in Unterverzeichnissen von /includes).
Lösung: Du musst die Mods, die "publike" Dateien im /includes abfragen umprogrammieren und diese Dateien vom includes hinaus woanders hin verschieben.
Grüße,
Tekin
Verfasst: 19.07.2006 15:18
von S2B
Aber genau das verhindern doch die von mir geposteten <Files>-Anweisungen, oder? *grübel* Wenn man die erste Anweisung verwendet, wird nur der Zugriff auf php-Dateien gesperrt, die anderen Dateien können weiterhin direkt geöffnet werden.
Verfasst: 19.07.2006 15:30
von h-o
S2B hat geschrieben:Aber genau das verhindern doch die von mir geposteten <Files>-Anweisungen, oder?
Nur dann, wenn die php-Dateien in /forum/includes von einer anderen serverbasierten Datei (also einer php-Datei, etwa /forum/ oder /forum/includes) aufgerufen wird.
Wenn dagegen eine Javascript-Datei (egal, wo sie sich befindet) versucht, eine php-Datei im includes-Verzeichnis aufzurufen, kommt der 403, weil Javascript browserbasiert ist.
Verfasst: 19.07.2006 15:37
von S2B
Jep, und genau das ist ja gewollt: Die php-Dateien sollen zwar noch von anderen php-Dateien "includebar" sein, aber nicht ganz normal aufrufbar sein.
Verfasst: 19.07.2006 18:17
von Jensemann
S2B hat geschrieben:Aber genau das verhindern doch die von mir geposteten <Files>-Anweisungen, oder? *grübel*
Korrekt. Aber wozu PUT erlauben? Kann eigentlich gänzlich gestrichen werden.