Железная защита форума при помощи .htaccess & .htpasswd

**Максим Босой** 15.06.2006 11:19

Заработало.

Но дело было не в пути.

Мой путь

/home/mysite.ru/forum/parol/.htpasswd

верен.

Просто почему-то кодировщик (htpasswd.exe) почему-то стал создавать обыкновенный текстовый файл "htpasswd".

Приходится его потом открывать в "Блокноте" и "Сохранять как" файл ".htpasswd" (с точкой).

После этого пароль читается.

Но я так и не понял, чего у меня кодировщик мудит (любой), а раньше сразу создавал .htpasswd в нужном формате.

М.

Добавлено спустя 14 минут 16 секунд:

Максим Босой писал(а):Просто почему-то кодировщик (htpasswd.exe) почему-то стал создавать обыкновенный текстовый файл "htpasswd".

Я лох!

Надо не забывать точку перед именем файла в строке

c:\htpasswd.exe -cm .htpasswd <логин>

Теперь правильный файл создаётся.

М.

**crash** 15.06.2006 13:06

а обязательно после каждой строчки лупить кучу переводов строки?

**Dr_Misha** 04.08.2006 23:31

Попытался осуществить тот прием, который здесь описывается.

Через админку хостера запаролировал папку /admin/.

Но как работать с программой не понял:
Мы указываем name u password и файл .htpasswd, который сгенерировался помещаем в "надежную директорию".

А какая связь с файлом modcp.php? Нам же его нужно защищать.

Заранее спасибо.

**Siava** 04.08.2006 23:57

Dr_Misha
http://httpd.apache.org/docs/1.3/mod/mod_auth.html

Что-то вроде того:

Код: Выделить всё: <files /home/*/public_html/modcp.php> AuthType Basic AuthName MyPrivateFile AuthUserFile /usr/local/apache/etc/.htpasswd-allusers Satisfy All Require file-owner </files>

хотя с файлами такого не делал, обычно только на каталог.

**energy!** 25.08.2006 10:28

Здравствуйте! Скажите пожалуйста, все-таки на localhost это работает или нет. У меня ни в какую не хочет.

И еще вопрос по поводу защиты posting'a, а можно чуть подробнее?

WingLion писал(а):Чтобы это закрыть, надо отредактировать posting.php так, чтобы он не принимал права
модераторов/админов для изменения чужих постов. Например, так -
было:
if ( $post_info['poster_id'] != $userdata['user_id'] && !$is_auth['auth_mod'] )
стало:
if ( $post_info['poster_id'] != $userdata['user_id'] )
При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.

**prapor** 05.10.2006 14:31

Произвел манипуляции,как тут и описывалось,по идее все должно быть правильно.
Но изменений никаких не заметил,имеется в виде что никаких дополнительных паролей у меня не спрашивается,может подскажете в чем проблема ?

**Siava** 05.10.2006 19:45

prapor
Все пути указываются от корня, то есть абсолютные.

**oktaw** 17.10.2006 16:00

а где лежит файл .htpasswd по умолчанию ... чёто я не нашёл такого

**crash** 17.10.2006 16:11

oktaw писал(а):а где лежит файл .htpasswd по умолчанию

где укажите, там и ляжет

**oktaw** 17.10.2006 16:13

crash писал(а):
oktaw писал(а):а где лежит файл .htpasswd по умолчанию

где укажите, там и ляжет

Я о другом ..где лежат пароли юзеров на форуме по умолчанию?...

Код: Выделить всё: [b]Создаем файл .htaccess, который будет находится в директории /admin/ Его содержание: Код:[/b] AuthUserFile /полный путь к директории, в которой находится файл с паролями /.htpasswd AuthName "Access to the panel of administration" AuthType Basic <Limit GET POST> require valid-user </Limit>

Дальше я всё понял ..

**crash** 17.10.2006 16:16

oktaw писал(а):Я о другом ..где лежат пароли юзеров на форуме по умолчанию?...

мне стыдно это говорить, но там же где и сообщения. То есть в базе данных mysql.

**oktaw** 21.10.2006 8:09

crash писал(а):
oktaw писал(а):Я о другом ..где лежат пароли юзеров на форуме по умолчанию?...

мне стыдно это говорить, но там же где и сообщения. То есть в базе данных mysql.

Разобрался ...первый раз не понял что точно говорилось о файле с паролями , щас сделал и всё работает

На счёт паролей юзеров тож понял ..видел мона сказать , только они там зашифрованы малёха ...но всёже есть !

Спасибо за идею Автору топа !

Да кстати , у меня родилась мысль пока глючился с путём ...ведь эти файлы с паролем можно воще пихнуть на другой сервак или нет ? .. указать не путь а http и.т.д. .. . не защищая его , на каком-то бесплатном сервисе

Добавлено спустя 19 минут 26 секунд:

Ищё вопрос , панель модерации защищаем файлом .htacces который ссылает на файл с паролем .. но у меня в .htaccess в корне стоит защита и для папки с аватарами

Код: Выделить всё: CharsetRecodeMultipartForms Off <Files usercp_avatar.php> CharsetDisable On </Files>

Мне можно под кодом аватар ставить и другие или нет ? .. Я так понимаю что можно , ну а может ошибаюсь ...ногами не пинать ))

**crash** 21.10.2006 10:16

oktaw писал(а):но у меня в .htaccess в корне стоит защита и для папки с аватарами

это не защита.

oktaw писал(а):Мне можно под кодом аватар ставить и другие или нет ?

можно. А можете в папке admin создать свой файл.

**tester999** 19.11.2006 5:45

После установки авторизации апача необходимость в двойном вводе пароля (вкрсия 2.0.12) совершенно пропала (админ один). Посмотрел файл admin/index.php, показалось, что авторизация находится в этом admin/pagestart.php файле.

Вырезав в кусок

if (!defined('IN_PHPBB'))
{
die("Hacking attempt");
}

ничего не получилось - просит ввести пароль

Подскажите, как решить? А то зачем оно нужно - 2 авторизации, 3 ввода пароля...

**Erlang** 14.12.2006 1:32

YarNET писал(а):Можно сделать автоматическую переадресацию запросов вирусных червей на другой какой-нибудь ресурс; добавить свои странички HTML на ошибки сервера 401, 402, 403, 404, … , 415… 500, 501, … 505.

Делал - хорошо помогало :lol:

Железная защита форума при помощи .htaccess & .htpasswd

Кто сейчас на конференции