|
erweiterte .htaccess
hi leute
ich will folgendes prob lösen. mittels .htaccess soll das verzeichnis wcm.kalium.org vor neugierige blicken geschützt werden (options -indexes) nun soll aber wenn man sich anmeldet (auch mit .htaccess) man schon zugriff auf das verzeichnis haben (auch mit listing). wie mach das? also: wenn man sich anmeldet darf man den inhalt gelistet sehen wenn ned soll: Zitat:
wie mach ich das? |
|
vielleicht meinst du das :
Code:
<FilesMatch "protected\.htm">http://www.ideenreich.com/htaccess/index.shtml mfg |
das is alles ned genau das was ich brauch:
ich will das im .htaccess drinsteht: AuthName "Lottozahlen der naechsten Woche" AuthType Basic AuthUserFile /......../.htpasswd require valid-user else: options -indexes verständlich? und wenn das ned mit .htaccess geht wie dann? |
Zitat:
|
genau darum geht es.....
|
... und die Lösung erscheint dir nicht passend ?
|
welche lösung?
kann ich etwa in ne htaccess datei ne ifabgfrage machen? oder was meinst du? |
*verwirrt*
also nochmal: Du willst, dass bestimmte Dateien auf deiner Homepage nur von bestimmten, durch Login und PWD indentifizierten Personen gesehen werden können, und dies wird per .htaccess gelöst. Wenn nun jemand, ohne authentischen Login daherkommt, soll er auf eine bestimmte seite geleitet werden, auf der dann "Error 403 Permission denied" oÄ steht, auch das wird per .htaccess gelöst. Aber... ?? mfg |
aber wie mach ich das?
schreib mir bitte die htaccess die du meinst! |
in der htaccess schauts dann glaub ich so aus... ich müsste noch schnell nachschauen :D
Code:
|
neine die ganze plz.
weil wie meld ich mich dann an? WIE WÜRDE DIE GANZE .HTACCESS DATEI AUSSEHEN? |
wurde eh schon oben gepostet. und dann fügst noch oben genannte zeile ein, aber statt 404 schreibst 403 rein.
gruss, snowman ps.: a bisserl a eigeninitiative darf man wohl erwarten, oder? |
Beim potassium? :lol:
Der wartet darauf, dass man ihm die Lösung auf dem silbernen Tablett serviert. :ms: potassium: Weitere Infos gibts hier: http://wsabstract.com/howto/htaccess.shtml http://www.ekiwi.de/tools/htaccess/index.php |
@ _m3:warum schwierig wenn es auch einfach geht. :D nein im ernst ich denke wir reden aneinander vorbei.
die seiten helfen mir auch nicht weiter wirklich weil: entweder ein passwortschutz oder ein redirect aber ned beides verreint. oder hab ich schon wieder mal was überlesen :D sollte das der fall sein bitte ich um richtigstellung. ich habe jetzt folgenden code in der .htaccess datei: Code:
AuthName "Lottozahlen der naechsten Woche" und nun gibt es automatisch einen internal server error. siehe hier wo hab ich mich da noch geirrt? |
1. AuthUserFile /home/username/wcm.kalium.org/.htpasswd
dein verzeichnis heißt wcm.kalium.org oder nur wcm? ich tippe auf zweiteres und daher schreibst du auch nur wcm da rein. 2. im ASCII mode raufgeladen? gruss, snowman |
nein. der ordner ist in wirklichkeit ein subdomain. von www.kalium.org nämlich wcm.kalium.org.....also daran liegt es ned......
|
Zitat:
Schon mal ohne dem "else:" probiert? |
nun versteh ich gar nix mehr. ich schreibe das ich denke da es mit else nicht geht. darauf da chrisi99
Zitat:
ABER MEIN FRAGE AR WIE ICH ES MACHE UND DAS STEHT AUF KEINER DIESER SEITEN! also nochmal kurz: wenn der user sich anmeldet solll er den inhalt sehen... wenn nicht soll er redirected werden.... geht BEIDES mit htaccess oder ned? und wenn ja WIE? |
Ja es geht beides.
Also 1) du schützt den Bereich einfach mit einer htaccess nach diesem Muster: Code:
AuthUserFile /pfad zum /.htpasswdjetzt spuckt der Server den Error 403 aus: Permission Denied. Wenn du willst, kannst du die Fehlermeldung für 403 jetzt noch per htaccess verändern damit ist alles getan. Also 2 Files (.htacces und .htpasswd) und fertig ist die Geschichte.. http://www.ideenreich.com/htaccess/index.shtml mfg |
nun fällt mir aber gerade ein... ads wenn man sicht anmelden muss man nicht nur nix sieht.....nein man hat auch auf nix zugriff....:heul:
ich fürchte ich muss das ganz anders lösen..... |
Zitat:
das is doch der Sinn der Sache oder? Aber du kannst ja jedes Verzeichnis extrig schützen mfg |
nein der sinn wäre:
jeder soll zugriff haben aber nicht sehen was da sonst noch drinn is (ich setz irgendwo im web zb im forum nen link) nur der admin soll auch schaun können was drin is. |
Was du also möchtest ist, dass "man" die Dateien nur sehen kann, wenn sie direkt gelinkt sind.
ich glaube auch das geht per .htaccess, es gibt da so etwas wie ein "HIDE" parameter. mfg |
jo aber wenn der admin sich anmelder soll er alles sehen können also das ganze directory.... und das is das prob..weil in einer htaccess kan ich keine bedinungsabfrage machen. :heul:
|
Zitat:
Aus meinem Link: Zitat:
|
@m3: Er WILL ein Directorylisting erlauben, aber nur beim Benutzer "gramatneusiedel" und passwort "murksdifurks"
Das geht nur über ein CGI: ErrorDocument 403 /cgi-bin/filter_gramatneusiedel_to_list_directory_content_f rom_perl_script.pl |
Das seh ich nicht so, er schreibt ja "jeder soll zugriff haben aber nicht sehen was da sonst noch drinn is".
|
ALLE zugriff
aber nur der angemeldete soll ganzen inhalt sehen. @_m3: wegen der formulierung sry. werde mich bessern :D |
Mein Fehler, Korrektur: Nr. 403 gehört durch Nr. 405 ersetzt und im Perl Script muss auf "Directorylisting durchführen" als Methode abgefragt werden.
Wenn das Verzeichnis aufgelistet werden sollte und dies ist nicht erlaubt (durch IndexIgnore * oder Options -Indexes) so kann man nun für den Admin Benutzer gramatneusiedel den Verzeichnisinhalt durch Generierung eines Directorylistings trotzdem anzeigen, alle anderen bekommen beispielsweise einen Redirect auf eine Seite startindex.html oder verzeichnislisting nicht erlaubt.html |
@potassium: Den Sinn habe ich verstanden, mir war nur die Bedeutung des Fehlercodes 403 nicht zugegen. Ich habe es mit Directorylisting denied assoziiert.
|
Die Authentifizierung darf auch nicht über den Webserver gemacht werden, sondern über ein Formular.
Wenn ich eine URL mit existierendem Verzeichnis in der Adresszeile des Browsers eingebe, so ist zu diesem Zeitpunkt kein entsprechendes gramatneusiedel "4784q3bn785t4784 Cookie" namens 4784q3bn785t4784 vorhanden und insofern wird das Listen des Verzeichnisses abgelehnt. Für den User gramatneusiedel aber nicht, da er sich an entsprechender Stelle eingeloggt hat und deshalb das Cookie durch ein CGI angestossen vom Client-Browser angelegt wurde. Nur ein Ausloggen bzw. ein expire macht das Cookie wieder unwirksam. mfg Kikakater |
Alternativ zum Cookie könnte man die IP der Clientmaschine festhalten nach dem Einloggen und so das Listing machen (falls mit dieser IP ein login gemacht wurde) oder eine Seite oder Meldung anzeigen (wenn keine IP in den CGI gemachten Aufzeichnungen (z.B: Protokoll_IP.log) zu finden ist).
|
da ich mich mit cookies noch nicht beschäftigt hab, hab ich null ahnung wie das funzt.
was brauche ich dazu? PS: webspace hat PHP4 (falls das was damit zu tun hat) |
Die setcookie Funktion erledigt das. Den Wert des Cookies erhält man mit $_COOKIE['cookiename'].
|
Ich würde das Ganze aber mit der IP machen, denn ein Admin Benutzer sollte eigentlich keine Cookies akzeptieren (für ein Mehr an Sicherheit).
|
mittels php: siehe Beispiel 2 auf der seite:
http://ch2.php.net/manual/de/function.scandir.php und dann gibst du diesen array aus. gruss, snowman |
Zitat:
|
Wenn jemand von so einer Stelle aus dem Admin Benutzer ein Directorylisting vollführen läßt - nach dem erfolgten Login - geht er das Risiko ein, daß alle anderen mit derselben IP auch auf das Directory zugreifen können, in dem Sinn, daß es durch scandir gelistet und danach angezeigt wird.
Wenn Du Deine Kreditkartennummer nicht unter Verschluß hältst, passiert es eben, daß jemand sie mißbraucht. Man kann es zwar noch um das Verfahren mit dem Setzen eines Cookie anreichern, aber das nur nebenbei. Dann ist die IP alleine zuwenig, um eine Liste der Dateien zum Browser geschickt zu bekommen. Ätschipetsch und Ende :p Bitte nicht so tierisch ernst nehmen - Forumsböser :D |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 06:07 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag