Dateien mit Passwort schüten... aber wie?

[Deepdragon]

Hi Leute!

ich habe ein kleines Problem... Und zwar betreibe ich die Homepage von der DLRG-Ortsgruppe Bruchköbel (www.bruchkoebel.dlrg.de)!
und dort gibt es einen Jugend Bereich.... dort ist ein Download-Bereich, in dem jeder freizugänglich Daten runterladen kann... also beispielsweise Protokolle von Vorstandssitzungen und so...
---> http://www.dlrg.de/Gliederung/Hessen.../download.html

jedenfalls wollen wir dort auch Downloads reinstellen, die nicht für jeden zugänglich sein dürfen... also bspw Adresslisten und so weiter... Aber wie kann man denn jetzt einzelne dateien mit einem Passwort schützen?

Also ich habe mir das so vorgestellt, dass wenn man auf eine Datei klickt, die nicht frei zugänglich ist, das sich dann ein Pop-Up Fenster öffnet, dass nach einem Passwort fragt... gibt man das richtige Passwort ein, so startet der Download...

könnt ihr mir nicht irgendwie helfen? Ich weiß nicht, wie ich das machen kann...

Die Seite ist in HTML geschrieben und ich lad die dateien über FTP hoch...

Deepdragon

[Jesus_666]

.htaccess. 'Nuff said.

[Deepdragon]

hi leute^^

danke schonmal für die Hilfe und ich hab das mit .htaccess gleich mal ausprobiert... ich hab dafür ne andere Seite zu Rate gezogen, weil die einfacher ist, imo^^ --> http://www.planethtml.de/html/104.shtml

Jedoch habe ich ein Problem... ich habe alles genauso getan, wie es das Tutorial gesagt hat... Ich habe auch ein Passwort generiert, also verschlüsseln lassen...

nur wenn man jetzt auf die Datei klickt, kommt ja auch das eingabefenster aber wenn ich die erforderlichen Daten eingebe, dann öffnet sich das Fenster wieder... also auch wenn ich alles richtig eingebe, kommt trotzdem wieder das Eingabe-Fenster... Ihr könnt es selbst mal ausprobieren... der Benutzername ist: DLRGOGBRK und das Passwort ist foxBxbASqSRIM !

unter .htaccess habe ich folgendes eingegeben:
AuthType Basic
AuthName "Interner Bereich"
AuthUserFile /jugend/memberdownloads/.htusers
require user DLRGOGBRK

und unter .htusers das:
DLRGOGBRK:foxBxbASqSRIM

und die beiden Dateien habe ich wie beschrieben in den Ordner, in der die Datei enthalten ist, die geschützt werden soll, kopiert...

und die ftp Pfadangabe müsste stimmen... denn es kommt erst der ordner jugend, dann der ordner memberdownloads und dann ja die .htusers datei... also ich verstehs net... ich habe doch alles so gemacht, wie dort beschrieben wurde... kommt mir echt spanisch vor... vielleicht weiß einer von euch noch ne Lösung... ?

[Jesus_666]

Wird die Seite auf einem Windows- oder einem *nix-Rechner gehostet? Hoster verwenden häufig Linux-Rechner.

Unter Windows kommt das Paßwort im Klartext in die .htpasswd (oder .htusers oder wie die Datei gerade heißt); unter *nix wird es vorher verschlüsselt. Das wurde auch in deinem Tutorial erwähnt. Das dort verlinkte Verschlüsselungsskript ist down, aber es gibt ja noch andere im Netz.


BTW, den Wikipedia-Artikel habe ich aus genau diesem Grund rausgesucht: Die Links unten haben zu Tutorials und dem gerade von mir verlinkten Generator geführt.

[Deepdragon]

@Jesus_666: also ich weiß net so genau... aber jedenfalls den PC, an dem ich das mache ist ein Windows PC... naja ich habs jetzt nochmal gemacht, mit der seite, die du verlinkt hast, aber damit hats wieder nicht gefunzt... vielleicht geb ich auch den falschen Pfad an?... es ist echt zum verzweifeln...
zum hosten benutze ich FileZilla... und Filezilla gibt auch den Pfad an:
/public_html/jugend/memberdownloads/
also da steht Serverseite: /public_html/jugend/memberdownloads/

deshalb ja... und ich hab das dann einfach genommen ... aber es funzt einfach nicht... by the way: muss ich dann eigentlich bei der passworteingabe das verschlüsselte oder das nicht verschlüsselte Passwd eingeben? also ich hab als password einfach mal vereinsheim genommen und das dann verschlüsseln lassen... aber ich hab sowieso beides ausprobiert und keins funzt...
hmm... also wenn das jetzt nicht funktioniert, gibt es da vielleicht noch ne andere möglichkeit? das mit .htaccess ist wirklich simpel, wenn es denn funktioniert... deshalb find ichs schade, dass es nicht funzt...

[dead_orc]

Du musst natürlich das verschlüsselte Passwort in die Datei schreiben aber das unverschlüsselte eingeben. Das Problem dürfte sein, dass du als Pfad für die htusers Datei den absoluten Pfad eingeben musst. Das sieht dann z.B. irgendwie so aus: /var/www/confixx/web1/downloads/.htusers (zumindest wenn der Server *nix ist)
Ich zumindest habe jetzt aber immer noch nicht verstanden, ob du eigentlich auf einem Server operierst, oder lokal.

[Deepdragon]

Vielleicht könntet ihr mir grad mal definieren, was ihr unter arbeiten lokal oder arbeiten aufm server versteht?
Also ich hab die HTML Dateien hier aufm pc und ändere die dann mitm Editor ab... und hochladen tu ich die dann auf den ftp server...

[Jesus_666]

"Lokal arebiten" würde bedeuten, daß auf deinem Rechner ein Apache, bzw. IIS läuft und du darüber arbeitest. "Auf dem Server arbeiten" bedeutet, daß du den Kram irgendwo hochlädst und dort der HTTP-Server läuft.

Da du offenbar alles hochlädst, ist der entscheidende Faktor, womit der Webserver arbeitet. Falls es Windows/IIS ist, mußt du unverschlüsselte Passwörter verwenden; falls es Linux/Apache ist, verschlüsselte.

[Teelicht]

unter .htaccess habe ich folgendes eingegeben:
AuthType Basic
AuthName "Interner Bereich"
AuthUserFile /jugend/memberdownloads/.htusers
require user DLRGOGBRK

und unter .htusers das:
DLRGOGBRK:foxBxbASqSRIM

...

Dein Beispiel verschlüsselt (für Linux) wäre z.B. folgendes:

.htaccess wie gehabt (bzw. Pfad überprüfen, aber das wurde schon gesagt);

.htusers:

Code:

DLRGOGBRK:d312dbb98d7c7ba002c6cbf7b585b977

Zumindest, wenn der Linux-Server mit md5 verschlüsselt.
Ich würde es einfach mal so ausprobieren, denn wohl die meisten Server (afaik) laufen mit Linux&Apache und die md5-Verschlüsselung ist auch nicht gerade selten...

Wenn du andere Passwörter mit md5 verschlüsseln magst, wird dir z.B. diese Seite eine Hilfe sein.

Gruß, Micha

[Deepdragon]

erstmal danke für eure hilfe... also der pfad war eh falsch gewesen^^ das hab ich dann rausgefunden...
.htaccess

AuthUserFile /var/www/typo3/Gliederung/Hessen/Main-Kinzig/Bruchkoebel/jugend/memberdownloads/.htpasswd
AuthGroupFile /dev/null
AuthName "Interner Bereich"
AuthType Basic

require valid-user

...

.htpasswd

DLRG:665974e5602e78e6103d1d6b5cc0d8d2

...

naja also der pfad ist jetzt definitiv richtig... naja nur das mit dem passwort ist halt blöd... irgendwas läuft da falsch... das blöde ist ja, dass ich nicht weiß, ob der Server jetzt auf Linux/Apache läuft oder nicht... denn @Teelicht: dein passwort hat er auch nicht genommen... das verschlüsselte, was ihr jetzt dort im zitat seht, ist "bruchkoebel" aber verschlüsselt...^^

also ich hab nochmal nen freund gefragt und der will sich das auch noch mal angucken... weil ich hab da mitlerweile keinen durchblick mehr, bzw. weiß nicht, was man noch machen könnte... aber danke für eure Hilfe

[dead_orc]

Zumindest, wenn der Linux-Server mit md5 verschlüsselt.

...

Ich habe zwar noch nie etwas davon gehört, dass der Apache auch mit MD5 verschlüsselte Passwörter akzeptiert, aber ich habs gerade nochmal nachgelesen und es scheint zu stimmen ^^
Ich würde trotzdem versuchen das Passwort mit crypt zu verschlüsseln, aber lies dir einfach mal den Abschnitt zu Passwortschutz mit der .htaccess bei Selfhtml durch. Wenn du keine Zeit hast scroll runter bis zum Formular und verschlüssel damit dein Passwort
Und streich mal die AuthGroup Zeile raus.

[Jesus_666]

Welchen Server du verwendest, kannst du rausfinden, indem du ein leeres Verzeichnis hochlädst und das im Browser ansteuerst. Die meisten Server sind so konfiguriert, daß sie in einem Verzeichis, das keine Indexdatei (index.html, index.php etc.) enthält, ein Listing des Verzeichnisinhalts ausgeben. Unten drunter steht (zumindest beim Apachen) in der Regel die Serversoftware mit Versionsnummer und Betriebssystem.

Du könntest auch einfach eine nichtexistente Seite auf eurem Server anbrowsen; 404-Fehlerseiten haben vor Allem bei IISen Informationen über den Server.

[Deepdragon]

Welchen Server du verwendest, kannst du rausfinden, indem du ein leeres Verzeichnis hochlädst und das im Browser ansteuerst. Die meisten Server sind so konfiguriert, daß sie in einem Verzeichis, das keine Indexdatei (index.html, index.php etc.) enthält, ein Listing des Verzeichnisinhalts ausgeben. Unten drunter steht (zumindest beim Apachen) in der Regel die Serversoftware mit Versionsnummer und Betriebssystem.

Du könntest auch einfach eine nichtexistente Seite auf eurem Server anbrowsen; 404-Fehlerseiten haben vor Allem bei IISen Informationen über den Server.

...

hab mal aus dem ordner jugend die index.html Datei rausgelöscht und dann auf Jugend geklickt... da kam dann logischerweise folgendes:

Objekt nicht gefunden!

Der angeforderte URL konnte auf dem Server nicht gefunden werden. Der Link auf der verweisenden Seite scheint falsch oder nicht mehr aktuell zu sein. Bitte informieren Sie den Autor dieser Seite über den Fehler.

Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.
Error 404
www.bruchkoebel.dlrg.de
Sat Oct 6 14:32:33 2007
Apache

...

Also scheint der Server mit Apache zu laufen

so^^ jetzt könnt ihr mir hoffentlich sagen, was ich als nächstes mit dieser Erkenntnis anfangen kann^^

@dead_orc: hab die Zeile rausgelöscht, hat aber nix gebracht...

[Jesus_666]

Dummerweise steht das Betriebssystem nicht dabei (und Apache ist portabel). Damit wisse wr immer noch nichts neues... Viel mehr, als es einfach mal mit allen Varianten durchzuprobieren, fällt mir nicht ein.

[Bluescreen]

Mhmm.
Wäre es nicht auch möglich, den Download-Datei-Quelltext in eine Datei zu packen, und diese als PHP zu benennen.
Dann könnte man ein kleines Script schreiben, das zB. beim eingeben des Passworts oder bei Existenz eines bestimmten Cookie(wertes) den Quelltext der Downloaddatei mit dem entsprechenden application-usw. an den Broswer schickt?

[dead_orc]

Mhmm.
Wäre es nicht auch möglich, den Download-Datei-Quelltext in eine Datei zu packen, und diese als PHP zu benennen.
Dann könnte man ein kleines Script schreiben, das zB. beim eingeben des Passworts oder bei Existenz eines bestimmten Cookie(wertes) den Quelltext der Downloaddatei mit dem entsprechenden application-usw. an den Broswer schickt?

...

Ich wittere Threadnekromantie

Natürlich ist das möglich. Du bräuchtest dazu nichtmal Cookies. Du könntest auch einfach ein Formular machen, dass du dann abschickst und per $_POST ausliest.

[Bluescreen]

Ich wittere Threadnekromantie

...

Öh, was ist denn das?

Natürlich ist das möglich. Du bräuchtest dazu nichtmal Cookies. Du könntest auch einfach ein Formular machen, dass du dann abschickst und per $_POST ausliest.

...

Jaha, war nur ein Beispiel mit dem Cookie.
Aber ich dachte das könnte dem Threadersteller noch helfen...

[Teelicht]

Öh, was ist denn das?

...

Threadnekromantie, die:
Threadnekromantie bezeichnet jede Art von Zauber, dessen Ziel es ist, tote Threads physisch wiederzubeleben.

Naja, schlecht kopiert aus Wikipedia (und noch schlechter angepasst), aber ich würde mal raten, dass er es so in etwa gemeint hat ;-)