Aloa,
nachdem bei den DBA-tools ja nun TLS fehlt, suchte ich eine Moeglichkeit, wenigstens .htaccess davor zu schieben. In meinem FTPRoot befinden sich keinerlei resourcen fuer PMA oder PGA also konnte ich das schonmal nicht einfach davor hauen.
Ich habe jetzt noch ein bisschen mit SetEnvIf rumprobiert, allerdings auch ohne nennenswerten Erfolg.
Frage: Moeglichkeit die DBA-tools irgendwie zu sichern?
Seas.
Edit: Hier einer der Versuche
SetEnvIf Host (\w*admin\b).snwflake.bplaced.net !no-auth-required
AuthUserFile /full/path/to/.passwd
AuthName "Locked"
AuthType Basic
Require valid-user
Allow from env no-auth-required
Satisfy Any
Edit2: Problem ist, das der request nicht auf / angeflogen kommt…kann also nicht intercepten.
Letztes Edit, versprochen ;): Gibt es ggf. die Moeglichkeit (via Ticket) die entsprechenden subdomains zu entfernen?
diese Möglichkeit gibt es soweit in der Tat nicht. Sofern Du nicht unbedingt über ungesicherte, öffentliche Kanäle kommunizierst und ein “Ziel” für so etwas bist (das sind meist Systeme von Interesse für Spam oder Kreditkartendatenklau), oder unter Beobachtung von Geheimdiensten stehst, würde ich mir hier auch absolut keine Sorgen darüber machen
Mohyra schrieb:
Die besten Chancen, dass eine htaccess funktioniert, hast du mit einer vollständigen URL.
Ich wuesste nicht was an der url unvollstaendig ist.
Ergaenzend dazu wuerde ich definitv niemals irgendein online tool nehmen, in dem der ‘zu schuetzende pfad’ mit dem dazugehoerigen username/passwort eingetragen wird. Dann kann ich das auch gleich in plain-text neben die form schreiben, hat effektiv den gleichen effekt als wenn ich nem 3. Anbieter meine daten gebe…
@miro nenn mich paranoid, aber ein offenes DBA-Tool laesst mir immer ganz flau im magen werden…selbst mit 128bit passwort und gehastem username…
