Verzeichnis richtig schützen

[cracks]

Hallo!

Wie schütze ich das admin-verzeichnis richtig?

Habe das Verzeichnis mit einer access-Datei mit folgendem Inhalt zu schützen versucht:

AuthName "Protected - Area"

AuthType Basic

AuthUserFile /var/www/vhosts/domain/httpdocs/onlineshop/admin/.htpasswd

require valid-user

Habe die access-Datei auch wirklich nur in den admin-ordner gelegt.

Doch nun kommt bereits beim Aufruf der Startseite das access-Fenster.

Wenn ich nun auf abbrechen klicke, kommt der Shop. Aber z.B. das Kundengruppen-gif wird nicht angezeigt. Wenn ich die Benutzerdaten im access-Fenster eingebe, dann erscheint das gif.

Ist es möglich, dass der Shop beim Start evtl. Dateien aus dem admin ziehen will und daher der Verzeichnisschutz greift??

Habt ihr Rat??

Habe es zwar über die SUFU versucht, doch die Beschreibungen zum damaligen Thread helfen mir nicht weiter.

vielen Dank!

mfg

cracks

[satzone]

Ehm und was soll dir das bringen, ist doch bereits geschützt. Ein Hacker wird eh nicht versuchen über den Shop sondern eher über eine globale Sicherheitslücke im Serversystem!

Admin ist ja PW geschützt, weshalb also doppelt schützen?

[sff]

@cracks: guck doch mal nach, wie die URL des Bildes lautet. Ich könnte mir das schon vorstellen (ohne jetzt selbst nachgeguckt zu haben). In diesem Falle deaktivier doch einfach die Kundengruppenbox (oder ändere den Pfad der Bilder)

@satzone: ... weil mod_auth 1000fach bewährter ist als der xtc-Login. (Wozu eine Wegfahrsperre, wenn es ein Zündschloss gibt?) Doppelt hält eben doch manchmal besser.

[cracks]

Danke sff!

Muß ich mal schauen...!

Aber ich seh das genauso wie du, das XTC-Login ist wohl nicht sicher genug. Es kam, wie in anderen Threads schon beschrieben, dass Google die start.php indiziert hat. Und das kann glaub ich mit einer access-Datei eher weniger passieren...!

Muß ich mal schauen, wo ich die Kundengruppenbox deaktivieren kann.

vg

c.

[wibros]

Zumal wenn das passiert:

//don’t know why, but this happens sometimes and new user becomes admin

(create_account.php)

Dann ist man mit einer htaccess-Lösung auf jeden Fall auf der sicheren Seite.

[cracks]

@ wibros:

Wie kommst du auf das?

Wo hast du das her?

Vg

c.

[sff]

Das steht so als Kommentar von einem Programmierer in der angegebenen Datei ;-)

[sff]

Wie du schon richtig vermutet hattest, liegen die Bilder in:

/admin/images/icons/

Also entweder Pfad ändern in

templates/.../source/boxes/infobox.php

oder Box deaktivieren in der index.html und

templates/.../sources/boxes.php

[cracks]

Dacht ich´s mir doch!

Aber diese Box brauch ich wirklich nicht...

Hab nur nirgends was gefunden, wie die Box genau deaktiviert wird.

Hast du vielleicht eine Anleitung parat?

vg

c.

[wibros]

Du löscht einfach den String {$box_INFOBOX} aus index.html

[sff]

... und kommentierst dann in der templates/.../sources/boxes.php die Zeile mit "infobox" aus.

[cracks]

Danke sff!!

Jetzt geht es. Hab die Access-Datei wieder hochgeladen.... und nun kommt die Abfrage beim Klicken durch den Shop nicht mehr. Sondern erst richtigerweise, wenn ich mich als Admin angemeldet habe und in den Admin-Bereich wechseln will!

Vg

C.