ubuntuusers.de

.htaccess nach login verbergen

Status: Ungelöst | Ubuntu-Version: Kein Ubuntu
Antworten |

spadework

Anmeldungsdatum:
24. Juli 2009

Beiträge: Zähle...

Hallo,

ich betreibe eine kleine Website mit einem eigenen Bereich für registrierte Benutzer. Die Benutzerverwaltung basiert auf LDAP, deshalb authentifizieren sich auch meine Benutzer in dem Bereich mit LDAP-Auth. Meine .htaccess sieht also wie folgt aus:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
...
AuthType basic
AuthName ''"NAME"''
AuthBasicProvider ldap
AuthLDAPURL ''URLTOLDAP''
AuthzLDAPAuthoritative off
require valid-user
order deny,allow
deny from all
satisfy any

...

Vor dem Login ist mein .htaccess gesperrt, aber sobald man sich einloggt kann man über de Browser auf das File zugreifen und sieht somit alle Rewriterules etc. Mir persönlich wäre es lieber, wenn dies nicht der Fall wäre. Unter http://www.htpasswdgenerator.com/apache/htaccess.html#9 habe ich ein Tutorial gefunden, wie man spezielle Dateien sperren kann. Dies hätte ich gemacht mit

1
2
3
4
5
6
<Files .htaccess>
  AuthName "Users zone"
  AuthType Basic
  order deny, allow
  deny from all
</Files>

Dennoch kann ich nach dem Login .htaccess auslesen im Browser.

Gibt es eine Möglichkeit die ich übersehen habe? Kann man generell hidden files global im Apache verstecken?

Danke für Antworten,

spadework

stegy

Anmeldungsdatum:
14. Februar 2007

Beiträge: 413

Also in der Standard Apache Konfiguration steht folgendes:

# AccessFileName: The name of the file to look for in each directory
# for additional configuration directives.  See also the AllowOverride
# directive.
#

AccessFileName .htaccess

#
# The following lines prevent .htaccess and .htpasswd files from being 
# viewed by Web clients. 
#
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>

spadework

(Themenstarter)

Anmeldungsdatum:
24. Juli 2009

Beiträge: 4

Hi stegy,

danke für die Antwort. Genau diese Zeilen sind in meiner Apache-config auch und sind nicht kommentiert. Selbst wenn ich genau diese Zeilen in meine htaccess (auch oben) einfüge kann ich sie immer noch im Klartext lesen sobald ich mich authentifiziert habe.

Antworten |