# htaccess-Verschlüsselung



## D@nger (20. April 2006)

Hallo,
ich habe es jetzt soweit gebracht, dass htaccess funktioniert, doch nur manchmal.
Z.B. funktioniert es mit folgender .htpasswd:
testuser:$apr1$ZFvLE...$aJXvoUKzJT4WPAm9Qr9Sc.
login: testuser
pw: testpasswort

Doch mit dieser funktioniert es nicht:
testuser:$1$Ejh19gVp$HHFOPvAsjUA5lgiMUCMfA/
login: testuser
pw: testpasswort

Warum sind die Passwort-Verschöüsselungen denn anders?
Die erste Verschlüsselung habe ich aus einem Forum kopiert. Womit verschlüsselt ihr eure Passwörter?


----------



## Arne Buchwald (20. April 2006)

Hallo,


```
htpasswd -b -c .htpasswd testuser testpassword
```
... einfach in der Shell im gewünschten Ordner ausführen.


----------



## D@nger (20. April 2006)

danke, gerade germerkt. Aber ich suche das für Windows und da geht es auch mit htpasswd im Apache-bin-Ordner.


----------



## Sven Mintel (20. April 2006)

Versuche mal, das PW unverschlüsselt anzugeben...


----------



## D@nger (20. April 2006)

Hallo,
stimmt, das klappt genauso, aber was bringt mir das denn? Ich möchte es verschlüsseln, es klappt ja jetzt, danke.


----------



## Dr Dau (21. April 2006)

Hallo!


			
				D@nger hat gesagt.:
			
		

> .....Ich möchte es verschlüsseln.....


Warum?
Die .htpasswd gehört ausserhalb des htdocs Verzeichnis.
Oder haben etwa unberechtigte Personen Zugriff auf Deinen Server?!

So wird eine neue .htpasswd mit dem Benutzer "foo" und dem Passwort "bar" angelegt:

```
C:\apache\bin>htpasswd -b -c c:/apache/.htpasswd foo bar
```
So wird der Benutzer "foo" mit dem Passwort "bar" zu einer bereits bestehenden .htpasswd hinzugefügt.
Sollte es den Benutzer "foo" bereits geben, so wird ihm dass angegebene Passwort zugeteilt (Passwortänderung):

```
C:\apache\bin>htpasswd -b c:/apache/.htpasswd foo bar
```
Die Pfade zum "bin" Verzeichnis und/oder zur .htpasswd Datei ggf. anpassen.


Die .htaccess würde dann z.b. so aussehen (Pfad ggf. anpassen):

```
AuthType Basic
AuthName "Testzugang"
AuthUserFile C:/apache/.htpasswd
require valid-user
```
 
Ich persönlich würde trotzdem die unverschlüsselte Variante bevorzugen.

Gruss Dr Dau


----------



## D@nger (21. April 2006)

Hallo,
hm, ok vielen dank, aber mein lokaler Server liegt auf D:\Server.
Wenn ich jetzt D:\Server\ordner1\Ordner2 schützen möchte, wo kommt dann die htaccess rein? Kann sich die keiner ansehen?


----------



## Sven Mintel (21. April 2006)

Rein Prinzipiell:

Beim Apache kann auf Dateien mit einem Namen a'la  .ht**** nicht über HTTP zugegriffen werden.

Die .htaccess muss in das Verzeichnis, welches du schützen willst, die .htpasswd kann da auch rein, sollte aber besser ausserhalb der Document-Root(htdocs)...man kann ja nie wissen :suspekt:


----------



## Dr Dau (21. April 2006)

Sven Mintel hat gesagt.:
			
		

> .....die .htpasswd kann da auch rein, sollte aber besser ausserhalb der Document-Root(htdocs)...man kann ja nie wissen :suspekt:


Da habe ich mich wohl etwas blöde ausgedrückt. 
Natürlich kann die .htpasswd in jedes beliebige Verzeichnis, da der Zugriff ja per default Konfiguration nicht möglich ist.
Aber wie Du schon sagst, man kann ja nie wissen. 
Ich wollte damit lediglich ausdrücken dass die .htpasswd vorzugsweise (sofern die Möglichkeit besteht) ausserhalb des htdocs Verzeichnis abgelegt werden sollte.
Dann bleibt nämlich nurnoch der Weg an die .htpasswd zu kommen, in dem sich jemand (berechtigt oder unberechtigt) Zugriff zum System verschafft.
Das ist dann aber nicht mehr eine Frage der Konfiguration von Apache, sondern der Konfiguration des Systems.
Mit anderen Worten: ist das System nicht sicher, nützt auch die beste Apache Konfiguration nichts.


----------



## D@nger (21. April 2006)

Ok, vielen dank, jetzt dürfte alles klappen.


----------

