PHPwcms hebelt Serverpasswortschutz aus?

Hier bekommst Du deutschsprachigen Support. Keine Fehlermeldungen oder Erweiterungswünsche bitte!
Post Reply
User avatar
kukki
Posts: 1666
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

PHPwcms hebelt Serverpasswortschutz aus?

Post by kukki » Fri 11. Nov 2011, 16:30

Auf meinem Server habe ich mit der allerneusten Version phpwcms 1.4.7 (2011/09/15, r422) ein Websystemangelegt.
Auf Anfrage des Kunden, soll eine vorläufige Anzeige einer html-Datei erfolgen, die in einem geschützten Verzeichnisbereich liegt.
Die .htaccess und .htpasswd wurden ordnungsgemäß angelegt. Wird die dort abgelegte Datei vip.html über http://www.Meins/vip/vip.html aufgerufen, erfolgt die gewollte Abfrage nach dem Passwort -soweit alles o.k. :!:

Nun habe ich eine Vorlage und Layout erzeugt und einen Content mit wir.phtml. Dort enthalten ist der "ext. Content"-Aufruf aus dem geschützten Bereich vip/vip.html
und diese enthält folgenden belanglose Codierung:

Code: Select all

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
  <meta http-equiv="content-type" content="text/html; charset=windows-1250">
  <title></title>
  </head>
<html>
  <body>
	<div class=spalte_L>
	<---- links
	</div>
	<div class=spalte_R>
	rechts --->
	</div>
  </body>
</html>
und zeigt das Wort links im linken Container und rechts im rechten Container an - ohne auch nur eine einzige Passwortabfrage gestellt zu haben :!: Egal in welchem Browser, mit Cahce löschen und ohne - spielt keine Rolle.
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.8.7 Beta R544
kukki's SpIeLwIeSe 1.8.7 Beta R544, responsive

User avatar
swisscheese
Posts: 138
Joined: Mon 19. Feb 2007, 16:37
Location: Solothurn, Schweiz

Re: PHPwcms hebelt Serverpasswortschutz aus?

Post by swisscheese » Fri 11. Nov 2011, 17:56

Hallo Kukki

Is ja klar! Du rufst die index.php im Webroot auf, und deine ominöse Datei wird irgendwann per php inkludiert. Somit umgehst du natürlich die .htaccess im betreffenden Verzeichnis. Das kann so nicht funzen.

Es gibt doch ein fe_login ?? :?

Gruss, Gerd

User avatar
update
Moderator
Posts: 6391
Joined: Mon 10. Jan 2005, 17:29
Location: germany / outdoor

Re: PHPwcms hebelt Serverpasswortschutz aus?

Post by update » Fri 11. Nov 2011, 17:56

Hallo?
Mit ext.Content ziehst Du aus dem geschützten Verzeichnis den Inhalt heraus - er wird nicht mehr innerhalb des Verzeichnisses aufgerufen!
Mit 'nem iframe geht das wuppdich!
It's mostly all about webdesign, logo design, new and old pages refresh, print BUT slowly switching to be supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.

User avatar
update
Moderator
Posts: 6391
Joined: Mon 10. Jan 2005, 17:29
Location: germany / outdoor

Re: PHPwcms hebelt Serverpasswortschutz aus?

Post by update » Fri 11. Nov 2011, 17:59

Das war eine halbe Sekunde zu spät ;)
It's mostly all about webdesign, logo design, new and old pages refresh, print BUT slowly switching to be supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.

User avatar
flip-flop
Moderator
Posts: 8178
Joined: Sat 21. May 2005, 21:25
Location: HAMM (Germany)
Contact:

Re: PHPwcms und der Verzeichnisschutz

Post by flip-flop » Fri 11. Nov 2011, 20:10

@Claus: Hallo Claus :D :D :D

@kukki:

- Das ist kein Serverpasswortschutz sondern ein Verzeichnisschutz im Apachee oder höchstens Web-Server. (Ein bischen weniger reißerisch käme ganz gut).
Wenn phpwcms auf den Server Durchgriff hätte wäre OG längst abgetaucht und würde dieses Wissen darum für ganz viel ........

Beispiel:
Wenn wir das Verzeichnis /filearchive/ betrachten kann phpwcms natürlich darauf zugreifen, trotz einer .htaccess in der "deny from all" steht.
Von außen über das http Protokoll ist es allerdings nicht möglich hier Zugriff zu erlangen.
Z.B.

Code: Select all

http://example.com/filearchive/0381123b3ec4deece767922002598a32.jpg
Außer man verwendet wieder ein php Script das das bewerkstelligt.
Z.B.

Code: Select all

http://example.com/download.php?f=0381123b3ec4deece767922002598a32&target=0
Also:
Der .htaccess Schutz funktioniert auf HTTP Ebene, d. h. ein HTTP Request landet in der Passwortabfrage.
PHP arbeitet mit Include auf Dateiebene, weshalb der Schutz nicht greift. Eine eventuelle Passwortabfrage muss also mit PHP umgesetzt werden.

Haben die Leuts weiter oben eigentlich alles schon geschrieben.

Also hebelt PHPwcms nichts aus!!!

Knut
>> HowTo | DOCU | FAQ | TEMPLATES/DOCS << ( SITE )

User avatar
update
Moderator
Posts: 6391
Joined: Mon 10. Jan 2005, 17:29
Location: germany / outdoor

Re: PHPwcms hebelt Serverpasswortschutz aus?

Post by update » Sat 12. Nov 2011, 10:15

@Knut: Langsam, langsam - aber sicher :D :D :D
It's mostly all about webdesign, logo design, new and old pages refresh, print BUT slowly switching to be supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.

User avatar
juergen
Moderator
Posts: 4553
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: PHPwcms hebelt Serverpasswortschutz aus?

Post by juergen » Sun 13. Nov 2011, 07:22

Man, hab ich mich jetzt erschrocken, ich habe eine Brechstange in meinem Hetzner EQ4 stecken sehen und mir liefen schon die Tränen. Die sind doch so empfindlich die Teile ... *schweissabwisch*

Post Reply