Passwortschutz

Computer: Software & Programmierung HTML & CSS
#1

Hallo Experten!

Ich möchte gern eine HTML-Unterseite mit einem Passwort schützen. Dafür habe ich diese Anleitung gefunden: http://de.selfhtml.org/servercgi/server/htaccess.htm….
Aus irgendeinem unerklärlichen Grund funktioniert es bei mir nicht. D.h., es wird durchaus ein Passwort abgefragt, aber nach Eingabe des richtigen Benutzernamens und Passworts wird das Dokument dennoch nicht geöffnet.
Nun habe ich mehrere Vermutungen zu der Ursache:

  1. Ich habe den Pfad für das .htusers-File falsch angegeben. Ich werde nämlich aus der Beschreibung auf der SelfHTML-Seite nicht schlau - wie muss der Pfad denn genau aussehen?

  2. Auf dem Server sind die Authorisierungsbefehle für .htaccess-Seiten nicht freigegeben. Kann ich das irgendwie überprüfen/selbst irgendwo nachschauen, ohne den Administrator fragen zu müssen?

Und noch eine weitere Frage: Gibt es irgendeine andere Möglichkeit für den Passwortschutz? Es gibt doch immer wieder so etwas, dass man auf einer Art Startseite für den privaten Bereich das Passwort eingibt und danach alle Seiten aus diesem geschützten Bereich aufrufen kann. Die Abfrage erscheint dann aber nicht in diesem Fenster, sondern auf einer HTML-Seite. Wie lässt sich das realisieren?

Im Voraus schönen Dank für eure Antworten!

Viele Grüße,
Anja

#2

Meinst Du für diese Seite? http://people.freenet.de/YounAnni/

  1. Ist bei deinem kostenlos-Anbieter das auch erlaubt/freigeschaltet/usw.

  2. Verwendet Freenet den Webserver Apache? Nur bei dem geht .htaccess.

http://de.selfhtml.org/servercgi/server/htaccess.htm….

GUT!

  1. Ich habe den Pfad für das .htusers-File falsch angegeben.
    Ich werde nämlich aus der Beschreibung auf der SelfHTML-Seite
    nicht schlau - wie muss der Pfad denn genau aussehen?

  2. Auf dem Server sind die Authorisierungsbefehle für
    .htaccess-Seiten nicht freigegeben. Kann ich das irgendwie
    überprüfen/selbst irgendwo nachschauen, ohne den Administrator
    fragen zu müssen?

Und noch eine weitere Frage: Gibt es irgendeine andere
Möglichkeit für den Passwortschutz?

NEIN, keine wirksamen, die sich nicht von Power-Usern in wenigen Minuten (oder schneller) knacken lassen.

Es gibt doch immer wieder so etwas, dass man auf einer Art Startseite für den privaten Bereich das Passwort eingibt und danach alle Seiten aus diesem geschützten Bereich aufrufen kann. Die Abfrage erscheint dann aber nicht in diesem Fenster, sondern auf einer HTML-Seite. Wie lässt sich das realisieren?

Die Abfrage findet VORHER statt und dann wird dem Server mitgeteilt WER da auf ihn zukommen WIRD. Geht zwar auch mit JavaScript, funktioniert aber seit ca. 2 -3 Jahre nicht mehr richtig.

Aber INTERN wird die Sperre dennoch mit .htaccess ODER mit der Datenbank-Abfrage gemacht.

Sonst mit Server-Client-Kommunikation (Query-String, AJAX, uvam.) beim Benutzer VORHER abfragen und übermitteln.

Also so irgenwie wie hier im WWW-Forum

Gruß

Stefan

#3

Hallo Stefan!

Danke für deine Antwort.

Meinst Du für diese Seite? http://people.freenet.de/YounAnni/

Nein, eine andere Seite, die definitiv mit Apache arbeitet. Es werden dort - allerdings für andere Zwecke - auch bereits .htaccess-Files verwendet.

Die Abfrage findet VORHER statt und dann wird dem Server
mitgeteilt WER da auf ihn zukommen WIRD. Geht zwar auch mit
JavaScript, funktioniert aber seit ca. 2 -3 Jahre nicht mehr
richtig.

Aber INTERN wird die Sperre dennoch mit .htaccess ODER mit der
Datenbank-Abfrage gemacht.

Sonst mit Server-Client-Kommunikation (Query-String, AJAX,
uvam.) beim Benutzer VORHER abfragen und übermitteln.

Das sagt mir alles leider gar nichts, außer, dass ich es doch weiterhin mit .htaccess versuchen sollte. :wink:

Hast du eine Idee, worin der Fehler liegen könnte? Oder kannst du mir vielleicht damit weiterhelfen, wie der Pfad für das Users-File aussehen soll? Danke!

Anja

#4

Nein, eine andere Seite, die definitiv mit Apache arbeitet. Es
werden dort - allerdings für andere Zwecke - auch bereits
.htaccess-Files verwendet.

Wohl für die Statistik oder so (z.B. Weblizer). Dann hol Dir doch mal so eine Datei und guck mal rein. Der Hintergrund ist, dass auf manchen Maschinen eine vollständige Pfadangabe vom // (= root) des Rechners angegeben werden muss.
z.B.

AuthUserFile /srv/www/htdocs/vhosts/www.kundendomaine.de/htdocs/passwrds/.htusers

Das müsste aber in irgendwelchen Hilfen des Anbieters drinstehen.

Bei Arcor glaube ich mal war das:

home/benutzername/irgendein_ordner_den_du_anlegen_musst/.htusers

Ist aber leider bei mir schon lange her, dass ich so was benutzt habe.

Das sagt mir alles leider gar nichts, außer, dass ich es doch
weiterhin mit .htaccess versuchen sollte. :wink:

Ist am sichersten.

Ach ja noch die vielleicht wichtigste Frage: Was geht nicht?

… nach Eingabe des richtigen Benutzernamens und Passworts wird das Dokument dennoch nicht geöffnet.

Erhälst Du einen 403-Fehler - dann würde das Passwort (ist vorher zu verschlüsseln) nicht anerkannt werden; oder kommt gar nix. Dann ist der Fehler eher darin zu suchen, dass für diesen zu schützenden Ordner das default-Dokument (index.htm, index.html, index.shtml) nicht funktioniert.

Hmm.

Muss selber noch mal nachlesen und testen, muss ja sowas für meinen Verein auch in der nächsten Zeit machen (interner Bereich).

Gruß

Stefan

#5

Hallo Stefan!

Nein, eine andere Seite, die definitiv mit Apache arbeitet. Es
werden dort - allerdings für andere Zwecke - auch bereits
.htaccess-Files verwendet.

Wohl für die Statistik oder so (z.B. Weblizer).

Nee, da stehen z.B. die Angaben zu Fehlermeldungsfiles drin. Ich habe mir die Pfadangaben angeguckt, werde daraus aber so gar nicht schlau. Einmal steht da einfach nur /Filename.htm und einmal die URL, also unterschiedlich, aber auf jeden Fall nichts mit vollständiger Pfandangabe.

Ach ja noch die vielleicht wichtigste Frage: Was geht nicht?

… nach Eingabe des richtigen Benutzernamens und Passworts
wird das Dokument dennoch nicht geöffnet.

Erhälst Du einen 403-Fehler - dann würde das Passwort (ist
vorher zu verschlüsseln) nicht anerkannt werden; oder kommt
gar nix. Dann ist der Fehler eher darin zu suchen, dass für
diesen zu schützenden Ordner das default-Dokument (index.htm,
index.html, index.shtml) nicht funktioniert.

Ich kriege eine 401-Fehlermeldung (Authorization Required. This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn’t understand how to supply the credentials required.)

Kann ich daraus wenigstens darauf schließen, dass die Konfiguration des Servers Authorisierungsbefehle zulässt?

Muss selber noch mal nachlesen und testen, muss ja sowas für
meinen Verein auch in der nächsten Zeit machen (interner
Bereich).

Na dann viel Spaß dabei. :wink:

Schöne Grüße,
Anja

#6

Hallo!

Ok, ich habe den Fehler gefunden, es lag tatsächlich an der unvollständigen Pfadangabe.

Danke für deine Hilfe!

Anja

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]