PHPwcms hebelt Serverpasswortschutz aus?

[kukki]

Auf meinem Server habe ich mit der allerneusten Version phpwcms 1.4.7 (2011/09/15, r422) ein Websystemangelegt.
Auf Anfrage des Kunden, soll eine vorläufige Anzeige einer html-Datei erfolgen, die in einem geschützten Verzeichnisbereich liegt.
Die .htaccess und .htpasswd wurden ordnungsgemäß angelegt. Wird die dort abgelegte Datei vip.html über http://www.Meins/vip/vip.html aufgerufen, erfolgt die gewollte Abfrage nach dem Passwort -soweit alles o.k.

Nun habe ich eine Vorlage und Layout erzeugt und einen Content mit wir.phtml. Dort enthalten ist der "ext. Content"-Aufruf aus dem geschützten Bereich vip/vip.html
und diese enthält folgenden belanglose Codierung:

Code: Select all

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
  <meta http-equiv="content-type" content="text/html; charset=windows-1250">
  <title></title>
  </head>
<html>
  <body>
	<div class=spalte_L>
	<---- links
	</div>
	<div class=spalte_R>
	rechts --->
	</div>
  </body>
</html>

und zeigt das Wort links im linken Container und rechts im rechten Container an - ohne auch nur eine einzige Passwortabfrage gestellt zu haben Egal in welchem Browser, mit Cahce löschen und ohne - spielt keine Rolle.

[swisscheese]

Hallo Kukki

Is ja klar! Du rufst die index.php im Webroot auf, und deine ominöse Datei wird irgendwann per php inkludiert. Somit umgehst du natürlich die .htaccess im betreffenden Verzeichnis. Das kann so nicht funzen.

Es gibt doch ein fe_login ??

Gruss, Gerd

[update]

Hallo?
Mit ext.Content ziehst Du aus dem geschützten Verzeichnis den Inhalt heraus - er wird nicht mehr innerhalb des Verzeichnisses aufgerufen!
Mit 'nem iframe geht das wuppdich!

[update]

Das war eine halbe Sekunde zu spät

[flip-flop]

@Claus: Hallo Claus

@kukki:

- Das ist kein Serverpasswortschutz sondern ein Verzeichnisschutz im Apachee oder höchstens Web-Server. (Ein bischen weniger reißerisch käme ganz gut).
Wenn phpwcms auf den Server Durchgriff hätte wäre OG längst abgetaucht und würde dieses Wissen darum für ganz viel ........

Beispiel:
Wenn wir das Verzeichnis /filearchive/ betrachten kann phpwcms natürlich darauf zugreifen, trotz einer .htaccess in der "deny from all" steht.
Von außen über das http Protokoll ist es allerdings nicht möglich hier Zugriff zu erlangen.
Z.B.

Code: Select all

http://example.com/filearchive/0381123b3ec4deece767922002598a32.jpg

Außer man verwendet wieder ein php Script das das bewerkstelligt.
Z.B.

Code: Select all

http://example.com/download.php?f=0381123b3ec4deece767922002598a32&target=0

Also:
Der .htaccess Schutz funktioniert auf HTTP Ebene, d. h. ein HTTP Request landet in der Passwortabfrage.
PHP arbeitet mit Include auf Dateiebene, weshalb der Schutz nicht greift. Eine eventuelle Passwortabfrage muss also mit PHP umgesetzt werden.

Haben die Leuts weiter oben eigentlich alles schon geschrieben.

Also hebelt PHPwcms nichts aus!!!

Knut

[update]

@Knut: Langsam, langsam - aber sicher

[juergen]

Man, hab ich mich jetzt erschrocken, ich habe eine Brechstange in meinem Hetzner EQ4 stecken sehen und mir liefen schon die Tränen. Die sind doch so empfindlich die Teile ... *schweissabwisch*