B. Koppe Posted September 10, 2003 Report Share Posted September 10, 2003 Hallo, ich installierte soeben f?r einen Kunden unserer Firma Ihr Shopsystem. Soweit verlief auch alles reibungslos und der Shop ist auch funktionsf?hig. Nun dachte ich, den admin-Ordner noch einmal extra per .htaccess zu sch?tzen w?re sicherheitsbewusster. Die entsprechenden Dateien sind normal im admin-Ordner abgelegt und sch?tzen diesen auch wie gewollt. Nur tritt jetzt auch folgendes auf: Wenn man nun den Shop (ich habe ihn in ein Verzeichnis namens "shop" installiert) unter http://Domainname/shop/ aufruft, erscheint eine Passwort-Abfrage, die man mit "Cancel" umgehen kann und man gelangt normal zum Shop. Dies ist nicht so gewollt. Da sich auch im Verzeichnis "shop" selbst keinerlei .htaccess oder ?hnliches befindet, wundert mich dieses Verhalten. Gibt es daf?r eine Erkl?rung? Will vielleicht eines der aufgerufenen Scripte gleich in den admin-Bereich o.?.? Ich bitte, falls m?glich, um schnelle Beantwortung, da wie oben erw?hnt, dies ein Kundenauftrag ist, den ich nat?rlich zu seiner Zufriedenheit abwickeln will. Ich danke im Vorraus f?r Ihre Hilfe! Link to comment Share on other sites More sharing options...
Guest gwinger Posted September 10, 2003 Report Share Posted September 10, 2003 Daran siehst Du aber, da? es v?llig unn?tig ist, den Adminbereich noch zus?tzlich zu sch?tzen ;-)) Genau diese Weiterleitung zum "Normalen Shop" passiert dann, wenn jemand von au?en versucht den Admin zu betreten. Es gibt keine uns bekannte Tricktechnik, die das umgehen kann. Der .htacces den Du verwendest, scheint allerdings auch fehlerhaft zu sein, da Du kein Passwort abverlangt bekommst. Hinweis: Man kann den Admin au?schlie?lich durch die T?r im Shop betreten ;-)) Anders wird stets abgeblockt. Keine Admin Datei wird geparst, wenn der Admin nicht ?ber den Shop verifiziert wurde und seine Acces Rechte aus der DB gelesen wurden. KEine PAnik, da? TEil ist dicht... Sollte jemand eine Sicherheitsl?cke finden, bitte umgehend melden.... Wir bessern dann sofort nach.. Link to comment Share on other sites More sharing options...
B. Koppe Posted September 11, 2003 Author Report Share Posted September 11, 2003 K, gecheckt, dann lass ich das eben sein. Danke f?r die schnelle Reaktion! Im ?brigen ist das admin-Verzeichnis per .htaccess schon richtig gesch?tzt, da man dort nur mit Login/Passwort reinkommt, aber egal, wird gel?scht und fertig. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.