
	Navigation: Know-How

Know-How für unsere Nutzer

Impressum für Websites

Kennwortschutz / .htaccess

Links und Hinweise auf die JPBerlin

E-Mail-Lauschangriff

Mailinglisten


	Wichtige Links

Webmailer

Mailinglisten (Ilpostino)

PHProjekt

JPBerlin Admin-Logbuch


	Volltextsuche


	Aktueller Status


	Alles OK.


	Der JPBerlin-Support

Telefon: 030/40 50 51 - 20
(Mo-Fr 9-18 Uhr)

support@jpberlin.de (Mo-So)

Kennwortschutz für Webseiten (.htaccess)

Immer wieder fragen Nutzer, wie sie in ihren Webseiten bestimmte Ordner mit einem Nutzernamen/Kennwort schützen können. Es geht! Dazu legt man in diesem Ordner (!) eine Datei mit dem Namen ".htaccess" an, die folgende vier Zeilen beinhaltet:

AuthName "hier-steht-ein-text"
AuthType Basic
AuthUserFile /srv/www/htdocs/www.DOMAIN.de/ORDNER/.htpasswd
require valid-user

Bitte beachten: Das Wort DOMAIN muss durch die Domain und das Wort ORDNER muss durch den Ordner ersetzt werden, unter der der Kennwortschutz liegt.

Dann legt man unter dem hier angegebenen Pfad eine weitere Datei mit dem Namen ".htpasswd" an (mit Punkt beginnend!), die ungefähr folgenden Inhalt hat:

username1:u283ts8263
username2:82ndms92ns7

Das Problem ist die Berechnung des Kennwortes -- hier hinter dem Doppelpunkt. Windows-Nutzer können diese Passwortberechnung leider nicht durchführen (Unixer nehmen einfach "crypt"...). Auf der folgenden Webseite kann man sich aber beliebige Klartext-Kennwörter in diese gecrypteten Kennwörter umrechnen lassen, die man dann in die .htpasswd einsetzt:

http://de.selfhtml.org/servercgi/server/htaccess.htm

-Ebenso findet man dort noch weitere Erklärungen und Hinweise zur ".htaccess"-Dateien.

Achtung: Die ".htaccess" darf aus Sicherheitsgründen in der JPBerlin nur Authentifizierungs-Angaben beinhalten. Konfigurationsoptionen wie "Options +FollowSymlinks" o.ä. sind NICHT ZULÄSSIG. Man findet immer wieder in irgendwelchen PHP-Readmes die Hinweise, man möge das bitte in der ".htaccess"-Datei so einstellen. Wenn das gemacht wird, quittiert unser Webserver das bei einem Seiten aufruf mit einer Webseite mit dem Titel "Internal Server Error".

Es sind ausschließlich die oben genannten AUTH-Angaben zulässig. Bei allen anderen Punkten bitte den JPBerlin Support fragen (ggf. den Absatz aus dem PHP-Readme mitschicken!).

Übrigens: Es ist möglich per FTP die Dateien ".htpasswd" und ".htaccess" anzulegen und hochladen zu lassen.

Es ist nicht möglich diese Dateien über einen Webzugriff downzuloaden. Bitte nennt darum die Paßwortdatei UNBEDINGT auch ".htpasswd" und gebt ihr nicht einen eigenen, anderen Namen!


	Sicherheitslücke in Timthumb macht Blogseiten angreifbar


	Eine Sicherheitslücke in dem Dienstprogramm Timthumb für Wordpress kann genutzt werden, um Wordpress-Blogs zu manipulieren. Der Entdecker der Sicherheitslücke stellt ein Patch zur Verfügung, der Entwickler will den Fehler korrigieren. Quelle: http://www.golem.de/1108/85446.html


	Hintertür in populären WordPress-Plug-ins


	Eine in drei populären Plug-ins entdeckte Hintertür hat die WordPress-Entwickler dazu bewogen, alle Passwörter für WordPress.org zurückzusetzen und den Zugriff auf die Erweiterungsrepositories zu sperren. Wie die Hintertüren in AddThis, WPtouch und W3 Total Cache gelangt sind, ist noch unklar. Bislang nimmt man an, dass nicht die Entwickler selbst sie eingebaut haben, sondern Angreifer an deren Zugangsdaten für die Konten gelangt sind und im Repository den Code manipulierten. Wie die Unbekannten an die Daten gekommen sein könnten, schreiben die Betreiber von WordPress.org nicht. Man untersuche den Fall derzeit noch, sicherheitshalber habe man jedoch ein Passwort-Reset durchgeführt – dies betrifft auch die Seiten bbPress.org und BuddyPress.org. Die Backdoors in den Plug-ins sollen sehr gut getarnt gewesen sein. Die WordPress-Entwickler haben die alten Versionen ohne Backdoor in die Repositories wieder zurückgespielt. Wer die genannten Plug-ins nutzt und in den letzten Tagen aktualisiert hat, sollte die Update-Seite erneut besuchen und die dort angebotene Version erneut installieren. Damit sollen die potenziellen Backdoors wieder aus dem System verschwinden – sofern ein Angreifer nicht bereits ins System eingedrungen ist und weitere Zugänge etabliert hat. (dab) Quelle: http://www.heise.de/newsticker/meldung/Hintertuer-in-populaeren-WordPress-Plug-ins-1265218.html


	E-Mail-Injection

Immer mehr Webseiten mit Mailformularen werden von Spammern zum Versand von unerwünschten Mails missbraucht. Wie das funktioniert und was man dagegen tun kann...


	Automatischer SPAM-Filter

In der JPBerlin ist ein automatischer SPAM-Filter für jeden Mailaccount aktiv. Mit Beantragung eines Kontos erklärt sich der Nutzer mit diesem SPAM-Schutz ausdrücklich einverstanden.