Verzeichnis richtig schützen

cracks · #1 (**permalink**) 23.01.2007, 21:40

Hallo!

Wie schütze ich das admin-verzeichnis richtig?

Habe das Verzeichnis mit einer access-Datei mit folgendem Inhalt zu schützen versucht:

AuthName "Protected - Area"
AuthType Basic
AuthUserFile /var/www/vhosts/domain/httpdocs/onlineshop/admin/.htpasswd
require valid-user

Habe die access-Datei auch wirklich nur in den admin-ordner gelegt.

Doch nun kommt bereits beim Aufruf der Startseite das access-Fenster.

Wenn ich nun auf abbrechen klicke, kommt der Shop. Aber z.B. das Kundengruppen-gif wird nicht angezeigt. Wenn ich die Benutzerdaten im access-Fenster eingebe, dann erscheint das gif.

Ist es möglich, dass der Shop beim Start evtl. Dateien aus dem admin ziehen will und daher der Verzeichnisschutz greift??

Habt ihr Rat??

Habe es zwar über die SUFU versucht, doch die Beschreibungen zum damaligen Thread helfen mir nicht weiter.

vielen Dank!

mfg
cracks

satzone · #2 (**permalink**) 23.01.2007, 22:13

Ehm und was soll dir das bringen, ist doch bereits geschützt. Ein Hacker wird eh nicht versuchen über den Shop sondern eher über eine globale Sicherheitslücke im Serversystem!

Admin ist ja PW geschützt, weshalb also doppelt schützen?

sff · #3 (**permalink**) 24.01.2007, 15:11

@cracks: guck doch mal nach, wie die URL des Bildes lautet. Ich könnte mir das schon vorstellen (ohne jetzt selbst nachgeguckt zu haben). In diesem Falle deaktivier doch einfach die Kundengruppenbox (oder ändere den Pfad der Bilder)

@satzone: ... weil mod_auth 1000fach bewährter ist als der xtc-Login. (Wozu eine Wegfahrsperre, wenn es ein Zündschloss gibt?) Doppelt hält eben doch manchmal besser.

cracks · #4 (**permalink**) 25.01.2007, 11:57

Danke sff!
Muß ich mal schauen...!

Aber ich seh das genauso wie du, das XTC-Login ist wohl nicht sicher genug. Es kam, wie in anderen Threads schon beschrieben, dass Google die start.php indiziert hat. Und das kann glaub ich mit einer access-Datei eher weniger passieren...!

Muß ich mal schauen, wo ich die Kundengruppenbox deaktivieren kann.

vg
c.

wibros · #5 (**permalink**) 25.01.2007, 12:44

Zumal wenn das passiert:

PHP-Code:


			
//don’t know why, but this happens sometimes and new user becomes admin

(create_account.php)

Dann ist man mit einer htaccess-Lösung auf jeden Fall auf der sicheren Seite.

cracks · #6 (**permalink**) 25.01.2007, 18:29

@ wibros:

Wie kommst du auf das?
Wo hast du das her?

Vg
c.

sff · #7 (**permalink**) 25.01.2007, 21:07

Das steht so als Kommentar von einem Programmierer in der angegebenen Datei ;-)

sff · #8 (**permalink**) 25.01.2007, 21:11

Wie du schon richtig vermutet hattest, liegen die Bilder in:
/admin/images/icons/

Also entweder Pfad ändern in
templates/.../source/boxes/infobox.php

oder Box deaktivieren in der index.html und
templates/.../sources/boxes.php

cracks · #9 (**permalink**) 25.01.2007, 21:53

Dacht ich´s mir doch!

Aber diese Box brauch ich wirklich nicht...

Hab nur nirgends was gefunden, wie die Box genau deaktiviert wird.

Hast du vielleicht eine Anleitung parat?

vg
c.

wibros · #10 (**permalink**) 25.01.2007, 22:17

Du löscht einfach den String {$box_INFOBOX} aus index.html

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Fehlermeldung: Verzeichnis für Sessions fehlt	Sylke	Installation und Konfiguration	3	01.12.2006 18:56