Vor einiger Zeit wurde ich darauf aufmerksam gemacht, dass meine Dateien/Verzeichnisse auf x5test.bplaced.net für jeden frei zugänglich sind.
Nachdem es sich nur um einen Speicherplatz zum Testen handelt und nix Wichtiges d’rauf ist, hat mich das nicht sonderlich beunruhigt.
Jetzt interessiert es mich aber, was da Schuld ist.
Ich habe ein Verzeichnis ./test700 mit ein paar Bildern erstellt. Dem Verzeichnis sowie den Bildern habe ich die Rechte 700 erteilt.
Im Browser erscheint aber folgendes Bild (sollte da nicht eine Hinweis/Fehlermeldung kommen?):
und ein Zugriff auf die Dateien und Verzeichnisse ist möglich.
Die einzige Möglichkeit das zu verhindern ist, irgendeine index.html hineinzustellen. Dann wird diese im Browser angezeigt.
Jetzt drängen sich 2 Fragen auf:
Hat einer von Euch eine Idee, was ich wo falsch gemacht habe?
Die Verzeichnisrechte in Besitzer / Gruppe / Andere ist mir auf einem lokalen Datenträger klar - nur im Netz…was versteht man da unter Gruppe und Andere?
Sind die Besucher meiner Webseite als Gruppe zu verstehen (dann könnte ja die letzte Zahl immer “0” sein - oder)?
Seine Frage ist mir noch nicht ganz bewusst, deshalb hatte ich bisher auch noch nicht geantwortet. Soweit ich verstanden habe, willst Du auch, dass Außenstehende per HTTP keinen Zugriff erlangen?
[quote=“x5test”]Also liegt der “Fehler” bei den Einstellungen des Webhosters…
Jedenfalls danke für Eure Hilfe.[/quote] Nein, denn normalerweise verwendet man Webspace, um eine Webseite zu hosten… …
Hier bei bplaced läuft jeder Zugriff auf der Owner-Ebene, das ist so gewollt und auch sinnvoll, da viele Benutzer Probleme mit den Rechten haben.
Um außenstehenden den Zugriff zu verweigern, kann man problemlos .htaccess verwenden
Sorry, dass ich für Euch wesentliche Infos nicht gegeben habe. Ich dachte nicht, dass sie von Bedeutung wären…
Jetzt wird’s ein bissl langatmig…
Ich bin in einem Supportforum eines Webseiteneditors aktiv.
Dieses Webseitenerstellungsprogramm exportiert natürlich die Webseite und nach Bedarf auch die dazugehörenden Projektdateien incl. der Startdatei, ohne der eine Weiterbearbeitung der Webseite nicht möglich ist.
Ausserdem beinhaltet dieses Programm einen FTP-Client (samt den zugehörigen Zugangsdaten).
Nachdem es immer wieder vorkommt, dass User dieses Programmes aufgrund eines HDD Fehlers ihre Projektdateien verlieren (und dadurch die gesamte HP zum Schmeissen ist), habe ich immer den Rat gegeben (und mache es selbst auch), die Projektdateien in einem eigenen Verzeichnis mit auf den Server zu laden (quasi als Sicherungskopie).
Ohne eine entsprechende index.html (und mit den entsprechenden Rechten (zB 700) ausgestattet) sollte dieses Verzeichnis mAn eigentlich sicher sein.
Jetzt ist aber Folgendes passiert:
Nachdem der Zugriff trotz 700 möglich ist, hat jemand meine Projekt Startdatei heruntergeladen, im Webseitenprogramm geöffnet und mittels eines Passwortcrackers die verschlüsselten Zugangsdaten erfahren.
Wie schon gesagt: in meinem Fall nicht besonders tragisch, da ich den bplaced Account nur für Test/Hilfezwecke benötige. Trotzdem verursacht mir das Ganze jetzt jede Menge Mehrarbeit (Webspace komplett löschen, Alles neu hochladen, Zugangsdaten ändern, etc.).
[quote=“thorr”][quote=“x5test”]Also liegt der “Fehler” bei den Einstellungen des Webhosters…
Jedenfalls danke für Eure Hilfe.[/quote]
Nein, denn normalerweise verwendet man Webspace, um eine Webseite zu hosten… …[/quote]
Natürlich, aber trotzdem können/dürfen sich doch auch Dateien am Webspace befinden, welche nicht für die Allgemeinheit zugänglich sein sollen - oder?
Ist eine Anschauungssache…jede der Möglichkeiten hat ihre Vor- und Nachteile…
[quote]Natürlich, aber trotzdem können/dürfen sich doch auch Dateien am Webspace befinden, welche nicht für die Allgemeinheit zugänglich sein sollen - oder?[/quote]Das ist korrekt. Jedoch trägst du meiner meinung nach mehr schuld, als der Webhoster, denn der weis ja gar nix davon, dass du solche daten hochlädst.
Wenn du solche daten hochlädst solltest du auch überprüfen, ob die daten wirklich nicht zugänglich sind.
Der einfachste weg den Zugriff auf ein Verzeichnis zu verbieten ist folgender (schon genannte) code in einer .htaccess (jedoch verbietet das nur dem Webserver den zugriff):
Order deny,allow
Deny from all
Diese methode verwende ich übrigens selber auch überall dort, wo niemand zugreiffen sollte
Mir ist auch kein Hoster bekannt wo das ändern der Rechte außer der Owner Rechte was bewirkt^^
Schließlich kann der Webserver nicht erkennen ob DU der Besitzer bist wenn du die Seite via HTTP aufrufst oder nicht… daher ist für den Webserver nur ein Recht entscheidend und zwar das was er nutzt. Dieses ist normalerweise der Owner. Wobei Gruppe unter Umständen auch sinnvoll wäre… dort wäre dann FTP der Owner.
Jedenfalls ist eine .htaccess mit deny from all der einzigst richtige weg.
[quote=“White-Tiger”]Mir ist auch kein Hoster bekannt wo das ändern der Rechte außer der Owner Rechte was bewirkt^^
Schließlich kann der Webserver nicht erkennen ob DU der Besitzer bist wenn du die Seite via HTTP aufrufst oder nicht… daher ist für den Webserver nur ein Recht entscheidend und zwar das was er nutzt. Dieses ist normalerweise der Owner. Wobei Gruppe unter Umständen auch sinnvoll wäre… dort wäre dann FTP der Owner.[/quote]
Jetzt hast Du es geschafft…kA ob Du das wolltest, aber jetzt hast Du mich verunsichert…(wozu gibt’s sonst die Dateirechte?).
Daher hab’ ich’s ausprobiert:
Mein Webhoster (df) überlässt die Rechtevergabe dem User (und daher gilt das Folgende nur für df und nicht global für andere Webhoster):
Wenn ich ein Verzeichnis (700-777) ohne explizit eine Datei anzugeben aufrufe, kommt ein 403 Error (ohne eine index.html und ohne eine .htaccess)
Einen 403 gibt’s ebenso bei den Verzeichnisrechten 700, 720, 740 und 760, db. dass das Ausführen erlaubt sein muss um Zugriff zu erlangen.
Bei den Dateien (ich hab’s mit .txt probiert) muss natürlich das Lesen erlaubt sein (also 640, 650, 660 und 670).
Relevant ist nur der Eigentümer und die Gruppe, ist daher egal ob 770 oder 777…
er will das keiner zugriff hat… also auf keine Datei dort drin… damit ist .htaccess die einzige Möglichkeit… oder er ändert die User Rechte es Ordners entsprechend.
Ich selber bevorzuge .htaccess da ich mir damit sicher sein kann, das keiner drauf kommt… dazu funktioniert es auf Linux und Windows gleich sowie auch auf allen Hostern.
