phpwcms Support Forum

The phpwcms support forum will help to find answers to your questions. The small but strong community is here since more than 10 years.
https://forum.phpwcms.org/

PHPwcms hebelt Serverpasswortschutz aus?

https://forum.phpwcms.org/viewtopic.php?t=22541

Page 1 of 1

PHPwcms hebelt Serverpasswortschutz aus?

Posted: Fri 11. Nov 2011, 16:30
by kukki
Auf meinem Server habe ich mit der allerneusten Version phpwcms 1.4.7 (2011/09/15, r422) ein Websystemangelegt.
Auf Anfrage des Kunden, soll eine vorläufige Anzeige einer html-Datei erfolgen, die in einem geschützten Verzeichnisbereich liegt.
Die .htaccess und .htpasswd wurden ordnungsgemäß angelegt. Wird die dort abgelegte Datei vip.html über http://www.Meins/vip/vip.html aufgerufen, erfolgt die gewollte Abfrage nach dem Passwort -soweit alles o.k. :!:

Nun habe ich eine Vorlage und Layout erzeugt und einen Content mit wir.phtml. Dort enthalten ist der "ext. Content"-Aufruf aus dem geschützten Bereich vip/vip.html
und diese enthält folgenden belanglose Codierung:

Code: Select all

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
  <meta http-equiv="content-type" content="text/html; charset=windows-1250">
  <title></title>
  </head>
<html>
  <body>
	<div class=spalte_L>
	<---- links
	</div>
	<div class=spalte_R>
	rechts --->
	</div>
  </body>
</html>
und zeigt das Wort links im linken Container und rechts im rechten Container an - ohne auch nur eine einzige Passwortabfrage gestellt zu haben :!: Egal in welchem Browser, mit Cahce löschen und ohne - spielt keine Rolle.

Re: PHPwcms hebelt Serverpasswortschutz aus?

Posted: Fri 11. Nov 2011, 17:56
by swisscheese
Hallo Kukki

Is ja klar! Du rufst die index.php im Webroot auf, und deine ominöse Datei wird irgendwann per php inkludiert. Somit umgehst du natürlich die .htaccess im betreffenden Verzeichnis. Das kann so nicht funzen.

Es gibt doch ein fe_login ?? :?

Gruss, Gerd

Re: PHPwcms hebelt Serverpasswortschutz aus?

Posted: Fri 11. Nov 2011, 17:56
by update
Hallo?
Mit ext.Content ziehst Du aus dem geschützten Verzeichnis den Inhalt heraus - er wird nicht mehr innerhalb des Verzeichnisses aufgerufen!
Mit 'nem iframe geht das wuppdich!

Re: PHPwcms hebelt Serverpasswortschutz aus?

Posted: Fri 11. Nov 2011, 17:59
by update
Das war eine halbe Sekunde zu spät ;)

Re: PHPwcms und der Verzeichnisschutz

Posted: Fri 11. Nov 2011, 20:10
by flip-flop
@Claus: Hallo Claus :D :D :D

@kukki:

- Das ist kein Serverpasswortschutz sondern ein Verzeichnisschutz im Apachee oder höchstens Web-Server. (Ein bischen weniger reißerisch käme ganz gut).
Wenn phpwcms auf den Server Durchgriff hätte wäre OG längst abgetaucht und würde dieses Wissen darum für ganz viel ........

Beispiel:
Wenn wir das Verzeichnis /filearchive/ betrachten kann phpwcms natürlich darauf zugreifen, trotz einer .htaccess in der "deny from all" steht.
Von außen über das http Protokoll ist es allerdings nicht möglich hier Zugriff zu erlangen.
Z.B.

Code: Select all

http://example.com/filearchive/0381123b3ec4deece767922002598a32.jpg
Außer man verwendet wieder ein php Script das das bewerkstelligt.
Z.B.

Code: Select all

http://example.com/download.php?f=0381123b3ec4deece767922002598a32&target=0
Also:
Der .htaccess Schutz funktioniert auf HTTP Ebene, d. h. ein HTTP Request landet in der Passwortabfrage.
PHP arbeitet mit Include auf Dateiebene, weshalb der Schutz nicht greift. Eine eventuelle Passwortabfrage muss also mit PHP umgesetzt werden.

Haben die Leuts weiter oben eigentlich alles schon geschrieben.

Also hebelt PHPwcms nichts aus!!!

Knut

Re: PHPwcms hebelt Serverpasswortschutz aus?

Posted: Sat 12. Nov 2011, 10:15
by update
@Knut: Langsam, langsam - aber sicher :D :D :D

Re: PHPwcms hebelt Serverpasswortschutz aus?

Posted: Sun 13. Nov 2011, 07:22
by juergen
Man, hab ich mich jetzt erschrocken, ich habe eine Brechstange in meinem Hetzner EQ4 stecken sehen und mir liefen schon die Tränen. Die sind doch so empfindlich die Teile ... *schweissabwisch*
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited