Железная защита форума при помощи .htaccess & .htpasswd

Максим Босой · 15.06.2006 12:19

Заработало.

Но дело было не в пути.

Мой путь

/home/mysite.ru/forum/parol/.htpasswd

верен.

Просто почему-то кодировщик (htpasswd.exe) почему-то стал создавать обыкновенный текстовый файл "htpasswd".

Приходится его потом открывать в "Блокноте" и "Сохранять как" файл ".htpasswd" (с точкой).

После этого пароль читается.

Но я так и не понял, чего у меня кодировщик мудит (любой), а раньше сразу создавал .htpasswd в нужном формате.

М.

Добавлено спустя 14 минут 16 секунд:

Максим Босой писал(а):Просто почему-то кодировщик (htpasswd.exe) почему-то стал создавать обыкновенный текстовый файл "htpasswd".

Я лох!

Надо не забывать точку перед именем файла в строке

c:\htpasswd.exe -cm .htpasswd <логин>

Теперь правильный файл создаётся.

М.

crash · Сообщение **crash** » 15.06.2006 14:06

а обязательно после каждой строчки лупить кучу переводов строки?

Dr_Misha · Сообщение **Dr_Misha** » 05.08.2006 0:31

Попытался осуществить тот прием, который здесь описывается.

Через админку хостера запаролировал папку /admin/.

Но как работать с программой не понял:
Мы указываем name u password и файл .htpasswd, который сгенерировался помещаем в "надежную директорию".

А какая связь с файлом modcp.php? Нам же его нужно защищать.

Заранее спасибо.

Сообщение **Siava** » 05.08.2006 0:57

Dr_Misha
http://httpd.apache.org/docs/1.3/mod/mod_auth.html

Что-то вроде того:

Код: Выделить всё

    <files /home/*/public_html/modcp.php>
        AuthType Basic
        AuthName MyPrivateFile
        AuthUserFile /usr/local/apache/etc/.htpasswd-allusers
        Satisfy All
        Require file-owner
    </files>

хотя с файлами такого не делал, обычно только на каталог.

energy! · Сообщение **energy!** » 25.08.2006 11:28

Здравствуйте! Скажите пожалуйста, все-таки на localhost это работает или нет. У меня ни в какую не хочет.

И еще вопрос по поводу защиты posting'a, а можно чуть подробнее?

WingLion писал(а):Чтобы это закрыть, надо отредактировать posting.php так, чтобы он не принимал права
модераторов/админов для изменения чужих постов. Например, так -
было:
if ( $post_info['poster_id'] != $userdata['user_id'] && !$is_auth['auth_mod'] )
стало:
if ( $post_info['poster_id'] != $userdata['user_id'] )
При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.

prapor · Сообщение **prapor** » 05.10.2006 15:31

Произвел манипуляции,как тут и описывалось,по идее все должно быть правильно.
Но изменений никаких не заметил,имеется в виде что никаких дополнительных паролей у меня не спрашивается,может подскажете в чем проблема ?

Сообщение **Siava** » 05.10.2006 20:45

prapor
Все пути указываются от корня, то есть абсолютные.

oktaw · Сообщение **oktaw** » 17.10.2006 17:00

а где лежит файл .htpasswd по умолчанию ... чёто я не нашёл такого

crash · Сообщение **crash** » 17.10.2006 17:11

oktaw писал(а):а где лежит файл .htpasswd по умолчанию

где укажите, там и ляжет

oktaw · Сообщение **oktaw** » 17.10.2006 17:13

crash писал(а):
oktaw писал(а):а где лежит файл .htpasswd по умолчанию
где укажите, там и ляжет

Я о другом ..где лежат пароли юзеров на форуме по умолчанию?...

Код: Выделить всё

[b]Создаем файл .htaccess, который будет находится в директории /admin/
Его содержание:
Код:[/b]

AuthUserFile /полный путь к директории, в которой находится файл с паролями /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>

Дальше я всё понял ..

crash · Сообщение **crash** » 17.10.2006 17:16

oktaw писал(а):Я о другом ..где лежат пароли юзеров на форуме по умолчанию?...

мне стыдно это говорить, но там же где и сообщения. То есть в базе данных mysql.

oktaw · Сообщение **oktaw** » 21.10.2006 9:09

crash писал(а):
oktaw писал(а):Я о другом ..где лежат пароли юзеров на форуме по умолчанию?...
мне стыдно это говорить, но там же где и сообщения. То есть в базе данных mysql.

Разобрался ...первый раз не понял что точно говорилось о файле с паролями , щас сделал и всё работает

На счёт паролей юзеров тож понял ..видел мона сказать , только они там зашифрованы малёха ...но всёже есть !

Спасибо за идею Автору топа !

Да кстати , у меня родилась мысль пока глючился с путём ...ведь эти файлы с паролем можно воще пихнуть на другой сервак или нет ? .. указать не путь а http и.т.д. .. . не защищая его , на каком-то бесплатном сервисе

Добавлено спустя 19 минут 26 секунд:

Ищё вопрос , панель модерации защищаем файлом .htacces который ссылает на файл с паролем .. но у меня в .htaccess в корне стоит защита и для папки с аватарами

Код: Выделить всё

CharsetRecodeMultipartForms Off
<Files usercp_avatar.php>
CharsetDisable On
</Files>

Мне можно под кодом аватар ставить и другие или нет ? .. Я так понимаю что можно , ну а может ошибаюсь ...ногами не пинать ))

crash · Сообщение **crash** » 21.10.2006 11:16

oktaw писал(а):но у меня в .htaccess в корне стоит защита и для папки с аватарами

это не защита.

oktaw писал(а):Мне можно под кодом аватар ставить и другие или нет ?

можно. А можете в папке admin создать свой файл.

tester999 · Сообщение **tester999** » 19.11.2006 5:45

После установки авторизации апача необходимость в двойном вводе пароля (вкрсия 2.0.12) совершенно пропала (админ один). Посмотрел файл admin/index.php, показалось, что авторизация находится в этом admin/pagestart.php файле.

Вырезав в кусок

if (!defined('IN_PHPBB'))
{
die("Hacking attempt");
}

ничего не получилось - просит ввести пароль

Подскажите, как решить? А то зачем оно нужно - 2 авторизации, 3 ввода пароля...

Erlang · Сообщение **Erlang** » 14.12.2006 1:32

YarNET писал(а):Можно сделать автоматическую переадресацию запросов вирусных червей на другой какой-нибудь ресурс; добавить свои странички HTML на ошибки сервера 401, 402, 403, 404, … , 415… 500, 501, … 505.

Делал - хорошо помогало