htaccess Verzeichnisschutz

Sicherheit des Webservers, der Server und rund um phpBB
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

htaccess Verzeichnisschutz

Beitrag von SkYfiGhTeR »

Hallo,

ich habe mir eine htaccess-Datei erstellt im root Verzeichnis mit bisher folgendem Inhalt:

Code: Alles auswählen

RewriteEngine On 

# prevent access from santy webworm 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR] 
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

<Files config.php> 
Deny from all 
</Files>
Sollte man in die htaccess im root Verzeichnis noch irgendetwas aufnehmen, was wichtig wäre?

Nun heißt es ja, dass man auch die Ordner admin, db, includes und language per htaccess schützen sollte bzw. das zumindest mal keine Nachteile bringt.

Das kann ich dann aber nicht mit der htaccess im root Verzeichnis machen, sondern müsste in jedem der Verzeichnisse die ich schützen will, eine seperate htaccess anlegen oder?

Und was müsste ich dann in die jeweilige htaccess reinschreiben, um den Ordner zu schützen?

Code: Alles auswählen

<Directory Ordnername> 
Deny from all 
</Directory>
So? Habe mir das nur mal abgeleitet von der Sache für einzelne Dateien...weiß aber nicht, ob das so nun korrekt wäre?

Danke.
Gruß
SkYfiGhTeR ;)
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Re: htaccess Verzeichnisschutz

Beitrag von Christian_N »

[quote="SkYfiGhTeR";p="63173"]Hallo,

Nun heißt es ja, dass man auch die Ordner admin, db, includes und language per htaccess schützen sollte bzw. das zumindest mal keine Nachteile bringt.

Das kann ich dann aber nicht mit der htaccess im root Verzeichnis machen, sondern müsste in jedem der Verzeichnisse die ich schützen will, eine seperate htaccess anlegen oder?

Und was müsste ich dann in die jeweilige htaccess reinschreiben, um den Ordner zu schützen?

Code: Alles auswählen

<Directory Ordnername> 
Deny from all 
</Directory>
So? Habe mir das nur mal abgeleitet von der Sache für einzelne Dateien...weiß aber nicht, ob das so nun korrekt wäre?

Danke.[/quote]

Also zu dem andere kann ich nichts sagen aber zu dem, ich hab es mit die ..htaccess und .htpasswd gemacht bei all-inkl.com im KAS ein verzeichnis suchtz angelegt, - Verzeichnis welche geschützt werden soll eingetrage, Benutzername und Passwort fertig... die beide dateien wurde dann im ordner selbst angelegt, wenn jem. jetzt den ordner aufruft wird aufgefordert den Benutzername und Passwort einzutrage.

Dieses habe ich allerdings bei dem Admin Ordner drausse gelasse da dort man sich sonst 3x insgesamt einloggen müsste, etwas schwachsinn find ich erste als benutzer dann nach klick auf den link durch die beide dateien und dann von phpBB nochmal zu bestätigen das man auch der admin ist.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

Beitrag von SkYfiGhTeR »

Hi,

danke für die schnelle Antwort.

D.h. ich kann die Verzeichnisse lediglich mit einem bestimmten Passwort schützen und nicht so wie ich/man es beispielsweise mit der config.php im root-Verzeichnis handhabt, dass man einfach generell den Zugriff untersagt?
Gruß
SkYfiGhTeR ;)
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Also ich kenn keine andere möglichkeit

Code: Alles auswählen

<Directory Ordnername>
Deny from all
</Directory> 
hatte ich allerdings auch mal bei mir versucht gehabt, hatte aba net funktioniert deshalb entschied ich mich mit dem passwort (quelle: phpBB Doku: .htaccess-Anleitung (Verzeichnisschutz)

Damit ging es jedenfalls man kann das verzeichnis ohne den richtige benutzername/passwort also nicht aufrufe, da es auch nicht leicht zu erraten ist hab ich ein passwort generien gelassen des 32zeichen lang ist aus Groß/Kleinbuchstaben, Zahle, Sonderzeichen etc. besteht alles durch Garten :-D Den ich selbst muss es mir ja net merken da ich die Ordner eh net aufrufen ausser den admin ordner aba da hab ich wie gesagt den schutz ja net drin :)

Aba mal eine andere frage du schriebs auch den language ordner, also den hab ich nicht da laut von phpBB (quelle: phpBB Doku: Installationsanleitung für phpBB 2.0.x) darüber auch nichts stande, siehe letzte zeile auf dieser Seite, seh auch kein sinn eigentlich den zu schützen da dort man keine wichtige daten zerstören kann wie im includes ordner, im language is ja nur der ganze Text wie "Forum" Suche" etc.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

Beitrag von SkYfiGhTeR »

Hi,

die Ordner habe ich diesem Artikel entnommen: phpBB: So mache ich mein Board sicher

Naja, evtl. kann mir da ja noch jemand weiterhelfen, ob man per htaccess dann auch Ordner einfach so vor Zugriffen schützen kann wie einzelne Dateien (Beispiel config.php), also ohne Passwort. ;)
Gruß
SkYfiGhTeR ;)
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Naja da stehts so und in den atikel von mir so, also da steht /language/ bei den atikel von mir /admin/ wobei der mehr sinn mach würde als /language/... aba naja schaden dürfte es jedenfalls nicht :D

Hoff ich auch mal für dich, den Google spukt auch nichts richtig aus auch nur so wie ich gemacht hab mit dem Passwort.

Gruß Chris

EDIT - 01. Juli 2007:
Also ich bin es hab mir nochmal das Thema rausgesucht weil ich gerade radikal am aufräumen des Fanclubs bin.
Mittlerweile habe ich mitbekommen das auch common.php man schützen ruhig kann, daher hab ich im root in der .htaccess Datei folgenden Code eingefügt:

Code: Alles auswählen

<FilesMatch "^(config|common)\.php$">
  order allow,deny
  deny from all
</FilesMatch>
funktioniert also bestens. :)

Und auch wegen das Problem anfänglich mit dem Verzeichnissschutz hab ich eine Möglichkeit gefunden, einfach in alle Verzeichnisse die geschützt werden sollen eine .htaccess Datei anlegen mit den Inhalt

Code: Alles auswählen

order allow,deny
  deny from all
und schon heißt es die bekannte Fehlermeldung "403 - Forbidden" :D sei es ob nur das /verzeichniss/ aufrufen tust oder /verzeichniss/datei.endung bzw. sogar /verzeichniss/unterverzeichniss/datei.endung es ist also alles was in /verzeichniss/ liegt dann gesperrt damit. :)

Falls noch eine Möglichkeit @SkYfiGhTeR deswegen suchst, da das Thema ja auch nun schon knapp ein Jahr alt ist, bei mir funktioniert es auf jedenfall bestens, hab es in Verzeichnis /db/ angelegt und dann die Datei kopiert und in andere Verzeichnissen eingefügt um die nicht immer neu anzulegen zu brauchen. :D

Folgende Verzeichnisse hab ich damit geschützt admin, cache, db, images, includes, language, (logs & usage sind Verzeichnisse von Provider).

Meine Frage welche kann man noch schützen damit es auch weiterhin Problemlos funktioniert des phpBB, ist es empfehlenswert das Verzeichnis "ctracker" zu schützen damit? Da dort ja auch wichtige Dateien eigentlich drin sind, die ggf. falls (was ja nicht man vorstellen kann da sonst schon ein Update gäbe :D) Sicherheitslücke wäre die man ausnutzen könnte. Die Frage wäre nur würde nach dem Schutz alles noch funktionieren richtig vom CT?

Auch hätte ich noch durch den IM-Portal blocks und eben templates von phpBB kann man die auch ruhig schützen damit der Zugriff verweigert wird bei direkt Aufruf? Damit wäre jedenfalls dann alle Verzeichnisse bei mir damit geschützt.

Welche Dateien im Root ausser config.php und common.php wäre den noch zu empfehlen mit dem oben genannte Code zu schützen?

Gruß Chris

EDIT2: Habe auch noch aber ohne Erklärung gefunden

Code: Alles auswählen

<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>
was bedeutet das, als das <limit ...>? und was ist besser dieses oder der 2. genannte ohne das <limit ...></limit> für den Verzeichnissschutz?
Schon mal danke für die Erklärung. :)

Gruß Chris

EDIT3: Glaub kann man vergessen, zumindste im "admin" und "images" Verzeichnis hab ich schon Probleme festgestellt, den wenn man auf den Admin-Link klickt kommt die Forbidden-Meldung deshalb und wenn die im "images" Verzeichnis ist kann keine Grafiken bei aufruf der Domain geladen werden. Schade eigentlich.
Zuletzt geändert von Christian_N am So 01.Jul, 2007 21:49, insgesamt 4-mal geändert.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

<limit ...>
bedeutet, daß nur die Daten gemäß den nachfolgenden amgegebenen Methoden (also POST oder GET oder ...) akzeptiert werden.
Für das Admin-Verzeichnis würde ich da auch eher ein Passwortschutz einrichten, anstelle den Zugriff generell von aussen zu vermeiden.
Und wenn Du schon deny from all verwendest, sollte localhost aber schon erlaubt werden:

Code: Alles auswählen

order deny,allow
deny from all
allow from localhost 127.0.0.1
;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

naja nur dann müsste man 3x insgesamt ein Passwort eintragen sich als Benutzer dann durch den Passwortschutz und danach nochmal durch phpBB um sich als Admin zu infizieren.
Aber das auch man noch was erlauben musste war mir schon fast klar, da die Grafiken etc. nicht angezeigt werden nur fande ich kein Code dem entsprechen sondern nur den geposteten und hab schon an mein Provider all-inkl.com geschrieben, da die ja ganz guten Support leisten und helfen. :)

Aber werde es nochmal in Verzeichnis "images" mit den Code machen mal schauen ob dann die Grafiken auch angezeigt werden. - Danke schonmal :)

Nur das mit Limit verstehe ich einfach nicht so ganz, kurz herum gefragt ohne lange erklärungen, ist es empfehlenswert es mit des limit zu machen oder reicht ohne völlig aus um den direkt zugriff auf ein Verzeichnis generell zu verbieten ausser für die Domain (localhost) selbst?
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

LIMIT wäre dann sinnvoll, wenn wirklich nur eine Art der Übertragung im "Normalfall" vorkäme, also der Zugriff auf eine Datei oder ein Verzeichnis eben per POST oder GET. Dann und auch wirklich nur dann macht LIMIT Sinn.
Ansonsten lass es einfach weg.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Was von den beiden ist eigentlich besser

Code: Alles auswählen

#security 
RewriteRule ^.*%27.*$ http://www.chantals-fanclub.de/ [R,L] 
RewriteRule ^.*%25.*$ http://www.chantals-fanclub.de/ [R,L] 
RewriteRule ^.*rush=.*$ http://www.chantals-fanclub.de/ [R,L] 
RewriteRule ^.*echr.*$ http://www.chantals-fanclub.de/ [R,L] 
RewriteRule ^.*esystem.*$ http://www.chantals-fanclub.de/ [R,L] 
RewriteRule ^.*wget.*$ http://www.chantals-fanclub.de/ [R,L] 

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://www.chantals-fanclub.de/ [R,L] 

# prevent perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://www.chantals-fanclub.de/ [R,L] 
RewriteCond %{HTTP_REFERER} ^.*$
oder

Code: Alles auswählen

#security 
RewriteRule ^.*%27.*$ http://127.0.0.1/ [R,L] 
RewriteRule ^.*%25.*$ http://127.0.0.1// [R,L] 
RewriteRule ^.*rush=.*$ http://127.0.0.1/ [R,L] 
RewriteRule ^.*echr.*$ http://127.0.0.1/ [R,L] 
RewriteRule ^.*esystem.*$ http://127.0.0.1/ [R,L] 
RewriteRule ^.*wget.*$ http://127.0.0.1/ [R,L] 

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 
RewriteCond %{HTTP_REFERER} ^.*$
Schon mal danke :)
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Letzteres, da es nicht Deine Domain, sondern die lokale Seite des Users belastet.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Ok danke, dann hatte ich es ganze Zeit falsch, besser gesagt war es dann falsch bei phpbb.com (oder phpbb.de) gepostet den dort standen das nur mit "mydomain" die man ersetzen sollte in seine eigene Domain.

Naja, dann nimm ich nun das letzte und dann ist es richtig wenigste. :D

Ausserdem besser ist das, so brauch ich die .htaccess Datei nicht bei jeder Domain anpassen *gg*

Gruß Chris
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
SchwarzeGenetik
Beiträge: 95
Registriert: Fr 22.Jun, 2007 06:22

Beitrag von SchwarzeGenetik »

nur mal ne frage: und zwar hab ich versucht die oben genannte zuschützenden ordner mit:

Code: Alles auswählen

order deny,allow 
deny from all 
allow from localhost 127.0.0.1
zuschützen.

es werden z.b. im cache-ordner keine dateien mehr angelegt. was muß den da in die .htaccess?

dann nochwas:
hab jetzt im forenroot

Code: Alles auswählen

<FilesMatch "^(config|common)\.php$"> 
  order allow,deny 
  deny from all 
</FilesMatch>
jetzt will ich aber noch irgentwie mein php.ini da eintragen. wie muß das denn da heißen?
Zuletzt geändert von SchwarzeGenetik am Mo 16.Jul, 2007 01:54, insgesamt 4-mal geändert.
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Für die php.ini wäre das richtig:

Code: Alles auswählen

<FilesMatch "^php.ini$"> 
  order allow,deny 
  deny from all 
</FilesMatch> 
Also zusätzlich!

*php.ini im webroot... tztztz...*

Und welchen Ordner hast Du denn nun geschützt?
Foren Root?
Das wäre fatal!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
SchwarzeGenetik
Beiträge: 95
Registriert: Fr 22.Jun, 2007 06:22

Beitrag von SchwarzeGenetik »

so, die php.ini is jetzt auch sicher ;)
ich muß die ins forenroot tun, weil sie nur in dem ordner gilt wo sie ist.
ne ander möglichkeit hab ich nich um safe_mode = ON und register_globals = OFF zuschaffen.
mit .htaccess funktioniert das bei domaingo nicht.

nun kommt ja keinr an die php.ini ran. und wenn dann sieht der nur einstellung. die kann man sich auch anderweitig besorgen.

also wegne die ordner schützen:

nun, wenn ich in den order "cache" folgende .htaccess lege:

Code: Alles auswählen

<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>
so, vorher cache-inhalt gelöscht, .htaccess rein, boardseiten geöffnet, mit ftp-programm cache-ordner geöffnet und da wo jetzt normalerweise neue dateien angelegt werden is nichts.
schick ich aber eine .htaccess rüber, mit folgendem inhalt:

Code: Alles auswählen

Order Allow,Deny
Deny from All
sind auf einmal alle da (im gleichen moment wenn ich die .htaccess ersetze.

komisch, den die wo es nicht geht, is die orginal vom "posts" (der cache-ordner ist und dem Cache Posts System gehört). wieso gehts da, und da nich?

was wäre den nun richtig für die entsprechenden ordener? könnt da mal jemand ne liste machen, für den ordner die .htaccess und für den ordner die .htaccess u.s.w... ;)
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Die Dateien werden vom phpBB weder per GET noch per POST dort abgelegt, sondern mittels PHP-Dateibefehlen, bzw. FTP-Zugriff. Und daher würde ein solcher Eintrag in der .htaccess genau das auch blockieren.
Also ohne Limit wäre es besser...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
SchwarzeGenetik
Beiträge: 95
Registriert: Fr 22.Jun, 2007 06:22

Beitrag von SchwarzeGenetik »

aha, deswegen! :D

also mach ich jetzt in die ordner: cache, db, images, includes, language

Code: Alles auswählen

order deny,allow 
deny from all 
allow from localhost 127.0.0.1
und den ordner admin mit passwort.

so müßte es dann passen... ;)

edit:

also beim images-ordner gehts nich, da werden keine bilder mehr angezeigt.
Zuletzt geändert von SchwarzeGenetik am Mo 16.Jul, 2007 15:33, insgesamt 8-mal geändert.
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Für Bilder habe ich das hier in der .htaccess im Forumroot eingetragen:

Code: Alles auswählen

# prevent hotlinks from external urls
#RewriteCond %{HTTP_REFERER} !^http://(www\.)?oxpus\.de(/.*)?$ [NC] 
#RewriteRule .*\.(gif|jpe?g|png|bmp)$	-	[F,L]
Damit werden nur noch Bilder angezeigt, wenn man die direkt aus einem "lokalen" Script aufruft, also mit der Domäne (hier eben oxpus.de)...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
SchwarzeGenetik
Beiträge: 95
Registriert: Fr 22.Jun, 2007 06:22

Beitrag von SchwarzeGenetik »

aso... hm, aber da werden dann auch keine verlinkten banner auf anderen seiten mehr angezeigt.
na gut, dann laß ich wohl den images-ordner ohne schutz...
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Du kannst das auch auf den einen Ordner beziehen, also Domäne und Pfad ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
KeineAhnung
Beiträge: 349
Registriert: Di 29.Mai, 2007 17:35
Wohnort: NRW
Kontaktdaten:

Beitrag von KeineAhnung »

ich habe das mal in meien .htaccess getan, sah dann so aus:

Code: Alles auswählen

DirectoryIndex index.html index.htm portal.php index.php

RewriteEngine on
RewriteRule ^sitemap.xml$ sitemap.php [L]
RewriteRule ^forum-([0-9]+).xml$ sitemap.php?fid=$1 [L]

prevent hotlinks from external urls
RewriteCond %{HTTP_REFERER} !^http://(www\.)?forenNAME\.de(/.*)?$ [NC]
RewriteRule .*\.(gif|jpe?g|png|bmp)$   -   [F,L]
aber mein netter serer hat mir einen 500er gegeben, was habe ich falsch gemacht ¢¦
SchwarzeGenetik
Beiträge: 95
Registriert: Fr 22.Jun, 2007 06:22

Beitrag von SchwarzeGenetik »

[quote="oxpus";p="74920"]Du kannst das auch auf den einen Ordner beziehen, also Domäne und Pfad ;)[/quote]
mensch, ahnung müßte mann haben... :( ;)

also, sozusagen gilt das dann nur für den images-order. so ungefähr? mensch soviel punkte und striche...

#RewriteCond %{HTTP_REFERER} !^http://(www\.)?quad-elite\.de(/phpBB2/images/.*)?$ [NC]

nochmal ne frage zur php_ini. wenn die aktiv is, kann ich in den posts keine dateien hochladen. kenn mich da nich so aus welche einstellungen das board brauch. wollt mal die php_ini hochladen, aber da kommt der tracker...
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Wenn dann so:

Code: Alles auswählen

# RewriteCond %{HTTP_REFERER} !^http://(www\.)?forenNAME\.de\phpBB2\images(\.*)?$ [NC]
# RewriteRule .*\.(gif|jpe?g|png|bmp)$   -   [F,L]
Wobei der Script-Pfad zum Forum (also hier phpbb2) anzupassen, bzw. zu löschen wäre...

Und das php.ini-Problem bitte in einem neuen Topic ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
SchwarzeGenetik
Beiträge: 95
Registriert: Fr 22.Jun, 2007 06:22

Beitrag von SchwarzeGenetik »

oh dank schön oxpus!

was ich mitbekommen hab, ist das wenn man den includes-ordner mit

Code: Alles auswählen

order deny,allow 
deny from all 
allow from localhost 127.0.0.1
schützt, ist bei jedem seitenaufruf eine kleine verzögerung zuspüren. ob das daran liegt das jedesmal die "darf ich" abfrage an die htaccess gemacht wird?
sobald ich die wieder entferne, is wieder ok. also nich falsch verstehn, is wirklich nur millisekunden sache, aber eben da... ;)
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

SchwarzeGenetik hat geschrieben:was ich mitbekommen hab, ist das wenn man den includes-ordner mit

Code: Alles auswählen

order deny,allow 
deny from all 
allow from localhost 127.0.0.1
schützt, ist bei jedem seitenaufruf eine kleine verzögerung zuspüren. ob das daran liegt das jedesmal die "darf ich" abfrage an die htaccess gemacht wird?
sobald ich die wieder entferne, is wieder ok. also nich falsch verstehn, is wirklich nur millisekunden sache, aber eben da... ;)
Das liegt nicht an der "darf ich" abfrage, sondern daran das der Server nicht weiss was er mit diesen Zeilen anfangen soll. ^6
(Parameter für eine Anweisung sind ohne zugehörige Anweisung recht Sinnlos.)
Höchstwahrscheinlich schreibt er eine Fehlermeldung in seine Logfiles und setzt dann seine Arbeit fort als wäre die .htaccess nicht vorhanden!

Lösch den Quatsch und gut is.
Zuletzt geändert von AmigaLink am Mo 16.Jul, 2007 21:07, insgesamt 2-mal geändert.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Antworten