.htaccess // Nur lokalen zugriff

[Lord_Icon]

[gelöst] .htaccess // Nur lokalen zugriff

Hi,

Zur Zeit sieht meine .htaccess wie folgt aus:

RewriteEngine	On

RewriteCond %{REQUEST_URI} !^/favicon\.ico
RewriteCond %{REQUEST_URI} !^/robots\.txt
RewriteCond %{REQUEST_URI} !^/sitemap\.xml

RewriteCond %{REQUEST_URI} !^/open_source
RewriteCond %{REQUEST_URI} !^/images
RewriteCond %{REQUEST_URI} !^/js
RewriteCond %{REQUEST_URI} !^/template

Nun würde ich gern den Ordner: open_source nicht öffentlich erreichbar machen. Grund hierfür ist, das da ein Filebrowser drin ist.
Ist die URL bekannt, kann hunz und kunz Daten hochladen.

Die Scripte selbst sollen aber zugriff haben.

Also habe ich im Ordner: /open_source/.htaccess angelegt

order deny,allow
deny from all
allow from 127.0.0.1
allow from localhost

Das Verzeichniss selbst kann ich jetzt nicht mehr öffendlich aufrufen.
Allerdings die PHP-Scripte auch nicht mehr.

Was mache ich denn falsch ?

 

[HxD]

Ich kann mich zwar gerade ein bisschen Irren, aber die Skripte werden doch über den Webbrowser aufgerufen oder? Warum versuchst du nichtmal allow from <ext. IP des Servers>

Najut, war jetzt lediglich ne Idee, die mir im Kop rumschwirrte ^^

 

[Lord_Icon]

soeben versucht.

Leider keinen Erfolg. Gibt es noch andere Möglichkeiten / Ideen ?

 

[Joe User]

Dein Versuch mit allow/deny kann nicht funktionieren, siehe Apache-Doku.
Du suchst http://httpd.apache.org/docs/2.0/howto/auth.html

 

[Lord_Icon]

Inwiefern bringt mich denn
AuthType Basic ... etc
weiter ?

Sicherlich kann ich es dann öffentlich abschotten... zumindest nur mit Passwort.
Aber die PHP Scripte kommen dann doch auch nicht durch.

Oder hab ich diesbezüglich irgendwelche Wissenslücken ?

 

[d4f]

Wie rufen die PHP-Skripte die Dateien ab?
In aller Regel werden die mit fopen('LOKALER PFAD,'r') geoeffnet, was also die htaccess allow auf localhost voellig ueberfluessig macht da der Dateizugriff nicht ueber Apache geht.
Ein "deny from all" sollte reichen.

Ansonsten muss dein Skript ueberdacht werden da es falsch funktioniert,
ich hab das Gefuehl aus deiner Beschreibung raus, es leitet den Benutzer nur an die URL weiter.

 

[Lord_Icon]

fopen... nee.
Wenn ich eine externe Datei öffnen möchte und darin ggf. schreiben oder lesen = dann setze ich diesen Befehl ein.

Ansonsten nutze ich include bzw. require_once

Gibt es hier auch Probleme ?

 

[d4f]

Ups, ich meinte jetzt dass die Skripte im Source-Code ausgegeben werden sollten Der Ordnername hat mich wohl etwas verwirrt.
include und require (welche uebrigens bis auf die Schwere des geworfenen Fehlers bei Problemen identisch sind) koennen mehrere Wrapper benutzen, wenn du einen Pfad angibst ist es der file:// welcher nicht ueber Apache geht.

Ein nicht im Ordner open_source liegendes Skript kann ueber lokale Pfade auf Dateien zugreifen selbst wenn der Ordner open_source mit der htaccess-Regel "deny from all" vor Blicken geschuetzt ist.
Das ist ja dein Setup? (Nur um sicher zu gehen, bei Kopfschmerzen bin ich langsam )

 

[Lord_Icon]

Okay.... machen wir es mal direkter, bevor deine Asperin-Schachtel sich dem ende nähert

Es handelt sich um den MC-Editor samt Filebrowser.
Der Editor selbst wird per JS aufgerufen:

<script type="text/javascript" src="/open_source/tiny_mce/tiny_mce.js"></script>

Mein Script befindet sich aber ausserhalb des open_source Ordners.
Meine eigenen Scripte sind durch spezielle PHP-Abfragen geschützt.
Sprich: Es kommt nur der angemeldete Admin zur Gesicht.

Beim MC-Editor ist dies nicht so. Der kann bei Bekanntgabe des Links direkt aufgerufen werden:
<domain.de>/open_source/tiny_mce/index.php

Dort kann man z.B. auch Datein hochladen und später natürlich auch wieder runter.

Den MC-Editor will ich nun nicht extra an meine Bedürfnisse anpassen... bei Updates zu viel arbeit.

Drum muß es doch möglich sein, das per .htaccess zu lösen.

 

[Joe User]

Solange Du von unbekannten beziehungsweise dynamischen IPs zugreifen willst, kommst Du um HTTP-AUTH nicht herum.

 

[OldSwede]

Hat Lord_Icon sich schon mal mit der DoKu befasst?
Vieleicht mit dieser: http://wiki.moxiecode.com/index.php/MCFileManager:Configuration/authenticator.login_page

 

[Lord_Icon]

Hat er.

Problem selbst ist aber nicht der MC-Editor.... sondern das Addon: Filebrowser:

Ich kann einmal den Editor aufrufen = machen kann ich da aber nicht viel, da kein Speicher Befehl hinter $_POST liegt.

Im Editor habe ich aber ein "fremd"-Plugin, was mir erlaubt Datei hochzuladen.
Diesen kann ich über 2 Varianten erreichen.

1: Über den Editor selbst
2: den Filebrowser direkt aufrufen.

Ich kann zwar Punkt 1 mit deinen Vorschlag beheben... die eigendliche Lücke (2) ist aber immer noch offen... (erinnert mich irgendwie an MS-Firewall ^^)

 

[OldSwede]

Nur zum Verständnis, du nutzt nicht den mc_file_manager?

 

[Lord_Icon]

nope.
Der läe dann nicht mehr unter open_scource, weil dieser kostenpflichtig ist.
Im Web gibt es diverse andere freie Filebrowser, die mit MC kompatibel sind.

Nur leider sind diese nur zuzureichend geschützt.

Was ich aber ebend geändert habe.

Somit muß ich leider bei jedem Update diese Änderungen nachträglich einfügen... (oder den Progger mal n Tipp geben und hoffen, das im nächsten Relase ein bissel mehr an Sicherheit gedacht wird)


Hatte gehofft, das ich mit der .htaccess das bequemer lösen konnte.

Aber Danke für eure Hilfe

 

[OldSwede]

ich bekomme es so hin:

<Files *>
	Order Deny,Allow
	Deny from all
	Allow from localhost
	ALLOW from 127.0.0.1
	ALLOW from deine-ip
</Files>

als .htaccess ins filemanger directory oder eine drueber.

 

[Lord_Icon]

ich nicht.

liegt nun direkt im filebrowser Verzeichniss.

Rufe ich den Editor auf, klappt noch alles. Rufe ich im Editor den includierten Filebrowser auf, bekomme ich ein 403 Error zurück.

Aber ich habs ja durch eine PHP Abfrage gelöst