Zur Navigation

Memberbereich schützen

1 prinzalbert

wie kann man mit .htaccess ein Memberbereich am bestern schützen?

Bestimmte Referrer sollen ausgeschlossen werden.
z.B. www.ultrapasswords.com, rawpasswords.com

Bestimmte Browser sollen ausgeschlossen werden.
z.B. HTTrack,WGet, etc.
Fallen euch noch andere Browser ein die man verbieten sollte?

Bestimmten IP bereichen
z.B Polen, Romänien, Russland
Wird die .htaccess dadurch zu groß und zu langsam?

Wie wertet man den User der .htaccess Passwortabfrage aus um mehrfache Logins unter gleichem Usernamen zu verhindern.
z.B. User veröffentlicht sein PW auf ner Webseite

Danke für eure Hilfe,

Thorsten


21.01.2007 19:19 | geändert: 21.01.2007 20:08

2 Jörg

Hallo Thorsten,

Bestimmte Referrer sollen ausgeschlossen werden.
z.B. www.ultrapasswords.com, rawpasswords.com

Das ist eine Möglichkeit, die allerdings nur den Teil der Clients blockt, die den Referer auch übermitteln (mache Personal Firewalls blockieren diesen z.B.)

Bestimmte Browser sollen ausgeschlossen werden.
z.B. HTTrack,WGet, etc.

Auch der User Agent String solcher Saug-Tools kann oft manipuliert werden; diese Tools lassen sich vielleicht über Bottraps (Beispiel: Spider-Trap) besser erfassen und sperren (sofern sie nicht bei jedem Zugriff die IPs ändern)

Bestimmten IP bereichen
z.B Polen, Romänien, Russland
Wird die .htaccess dadurch zu groß und zu langsam?

Bei einzelnen Ländern womöglich ja, da diesen keine geschlossenen IP-Bereiche zugeordnet sind. Was anderes ist es bei Kontinenten, diese lassen sich relativ einfach sperren

Wie wertet man den User der .htaccess Passwortabfrage aus um mehrfache logins unter gleichem Usernamen zu verbindern.

Mit mod_rewrite kann man auf den Authorisation-String über die Variable %{HTTP:Authorization} zugreifen, in PHP einzeln auf die Variablen $_SERVER['PHP_AUTH_USER']. Wie man einen mehrfachen Login identifiziert, wüsste ich allerdings im Moment auch nicht, es sei denn die Mitglieder verfügen über eine feste IP, auf die man sie (mittels einer RewriteCond) festnageln könnte

21.01.2007 20:26 | geändert: 21.01.2007 20:27

3 prinzalbert

Hallo Jörg,

danke für deine schnelle Antwort.

Ich würde gerne die Referer auf eine Werbeseite lenken, etwa so:

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://(www\.)?(ultra|raw)passwords\.com [NC]
RewriteRule ^(.*)$ http://www.domain.de/werbung.html [R]

Gibt es eine andere Möglichkeit diese "bösen" Referer trotz Firewall heraus zu filtern?

Gruß Thorsten

21.01.2007 21:27

4 Jörg

Gibt es eine andere Möglichkeit diese "bösen" Referer trotz Firewall heraus zu filtern?

Nein, es wird in solchen Fällen ja nichts übermittelt. Auch leere Referer zu blocken wäre wohl nicht praktikabel - zumal auch die meisten Suchmaschinenbots keinen Referer übermitteln

21.01.2007 22:52 | geändert: 21.01.2007 22:52

5 prinzalbert


RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://(www\.)?(ultra|raw)passwords\.com [NC]
RewriteRule ^(.*)$ http://www.domain.de/werbung.html [R]

wenn ich diesen Befehl in meine .htaccess kopiere bekomme ich folgenden Fehler: Error 403

Was mache ich falsch?

22.01.2007 10:44

6 Jörg

Eine mögliche Ursache für eine 403: die Option FollowSymlinks in der httpd.conf des Apache ist deaktiviert. Falls du keinen Zugriff auf diese Datei hast, probier es mal mit dem entsprechenden Eintrag in der .htaccess:

Options +FollowSymlinks

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://(www\.)?(ultra|raw)passwords\.com [NC]
RewriteRule ^(.*)$ http://www.domain.de/werbung.html [R]

22.01.2007 10:53

7 prinzalbert

Hi Jörg

Options +FollowSymlinks

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://(www\.)?(ultra|raw)passwords\.com [NC]
RewriteRule ^(.*)$ http://www.domain.de/werbung.html [R]

wenn ich die Zeile Options +FollowSymlinks hinzufügen, bekomme ich folgenden Fehler: Error 500

Gruß Thorsten

22.01.2007 11:50

8 Jörg

Dann ist das Überschreiben dieser Option durch die .htaccess möglicherweise nicht erlaubt und der betreffende Eintrag müsste dann direkt in der Apache Konfigurationsdatei im betreffenden Directory Container vorgenommen werden. Wenn du keinen Zugriff darauf hast, müsstest du dazu deinen Hoster kontaktieren.

Um sicher zu gehen, kannst du aber auch nochmal in die Error-Log-Datei des Servers schauen, welche Fehlerursache dort aufgeführt wird

22.01.2007 13:39 | geändert: 22.01.2007 13:40

9 prinzalbert

Hi Jörg,

habe nun für alle Anbieter unter Confixx - httpd folgende Einstellung vorgenommen.
<Directory "/var/www/##user##/html">
	AllowOverride All
	Options +FollowSymLinks +SymLinksIfOwnerMatch
</Directory>
php_admin_flag 
safe_mode On

Wenn ich nun in der .htaccess
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://(www\.)?boese\.com [NC,OR]
RewriteRule ^(.*)$ http://www.meine_domain.com/ [R]

AuthUserFile  /PFAD/.htpasswd
AuthName Members
AuthType Basic

<Limit GET POST>
require valid-user
</limit>

eintrage bekomme ich einen Fehler: 403
Lasse ich den Befehl
RewriteEngine on
weg, funktioniert die Seite, jedoch die Weiterleitung greift nicht.

Hast du noch einen Tip was ich falsch mache?

23.01.2007 18:35

10 Jörg

Was steht denn im Errror Log (Datei errror_log im apache-Verzeichnis /logs) zu diesen 403 Aufrufen?

23.01.2007 18:58