MetaModels Workshop in Berlin
Ergebnis 1 bis 20 von 20

Thema: Contao 4 und Verzeichnisschutz: Hosterspezifische Probleme

  1. #1
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Frage Contao 4 und Verzeichnisschutz: Hosterspezifische Probleme

    Hallo,

    ich habe Probleme bei verschiedenen Hostern mit dem Anlegen eines funktionierenden Verzeichnisschutzes per htaccess.

    Ich hatte kürzlich bereits folgenden Thread für Probleme bei cyon eröffnet und habe keine Lösung gefunden:
    https://community.contao.org/de/show...gisst-Passwort

    Nun habe ich Probleme mit DomainFactory und diese stellen sich komplett anders dar, als bei cyon:
    Wenn ich den Verzeichnisschutz in der Contao-Standard htacces anlege, dann kann die Startseite (Frontend) trotzdem aufgerufen werden, ohne dass der Dialog für den Passwortschutz erscheint. Rufe ich das Backend-Login auf, so erscheint der Dialog wiederum. Gehe ich dann auf abbrechen, so wird die Login-Seite trotzdem geladen, allerdings ohne css.

    Ich habe den Beitrag leider versehentlich gespeichert, daher folgen weitere Details in kürze ...

    Danke und Grüße
    juju
    Geändert von juju (01.04.2019 um 18:34 Uhr) Grund: unvollständig

  2. #2
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    Hier die Fortsetzung:
    Der Contao Manager ließ sich dabei teilweise nicht aufrufen (404 Fehler).

    Ich hab schon tausend mal einen Verzeichnisschutz angelegt und kann das jetzige Verhalten überhaupt nicht nachvollziehen und würde mich über Lösungsansätze freuen.

    Contao 4.4, Standard-htacces wie von Contao 4.4 mitgeliefert und folgender Code für den Verzeichnisschutz:
    Code:
    AuthType Basic 
    AuthName "TopSecret-Bereich" 
    AuthUserFile /[SERVERPFAD]/[UNTERVERZEICHNISSE]/.htusers
    AuthPGAuthoritative Off
    require user meinbenutzer
    Und hier noch weitere Infos:
    • es ist die aktuellste 4.4.35 (Update über Contao Manager von 3.5.38)
    • Hoster ist DomainFactory (php7.2 Latest)
    • Keine Contao-Erweiterungen
    • Ordnerstruktur gemäß Contao Konventionen /contao-ordner/web (web-Ordner ist als Zielordner der domain eingestellt)
    • Verzeichnisschutz liegt im web Ordner (htaccess)


    Danke und Grüße
    juju
    Geändert von juju (01.04.2019 um 15:43 Uhr)

  3. #3
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    ... und die .htusers sieht so aus:
    Code:
    meinbenutzer:meinverschlüsseltespasswort

  4. #4
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    20.546
    User beschenken
    Wunschliste

    Standard

    Ich empfehle folgendes:
    Code:
    SetEnvIfNoCase Request_URI ^/app_dev\.php($|/) allow_access
    SetEnvIfNoCase Request_URI ^/contao-manager\.phar\.php($|/) allow_access
    AuthUserFile /path/to/.htpasswd
    AuthName "Lorem ipsum dolor"
    AuthType Basic
    Order Deny,Allow
    Deny from all
    Satisfy any
    Require valid-user
    Allow from env=allow_access

  5. #5
    Community-Moderator Avatar von stefan-at-work
    Registriert seit
    05.06.2009.
    Ort
    Bad Segeberg
    Beiträge
    1.592
    Partner-ID
    634

    Standard

    normalerweise kann man einen Verzeichnisschutz direkt im Adminpanel des Webaccounts des Hosters setzen.

    Wenn Du es manuell setzen willst, lege Dir im Verzeichnis /web eine Datei mit dem Namen .htpasswd an. Mit einem Onlinegenerator wie z.B. http://www.htpasswdgenerator.de/ kannst Du Dir dann ein md5 verschlüsseltes Passwort erzeugen. Das Ergebnis trägst Du dann in die o.g. datei .htpasswd ein.

    Edit: Sorry, sehe gerade, das es Dir wahrscheinlich nicht um einen globalen Verzeichnisschutz geht.
    Geändert von stefan-at-work (01.04.2019 um 15:50 Uhr)

  6. #6
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    20.546
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von stefan-at-work Beitrag anzeigen
    normalerweise kann man einen Verzeichnisschutz direkt im Adminpanel des Webaccounts des Hosters setzen.
    Das spießt sich aber mit der Authentifizierung in der app_dev.php und dem Contao Manager - daher diese Notwendigkeit.

  7. #7
    Community-Moderator Avatar von stefan-at-work
    Registriert seit
    05.06.2009.
    Ort
    Bad Segeberg
    Beiträge
    1.592
    Partner-ID
    634

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Das spießt sich aber mit der Authentifizierung in der app_dev.php und dem Contao Manager - daher diese Notwendigkeit.
    Okay, verkehrt verstanden

  8. #8
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    Danke für Eure Antworten!

    ich werde Spookys Vorschlag testen und mich zurück melden.

    Viele Grüße
    juju

  9. #9
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    20.546
    User beschenken
    Wunschliste

    Standard

    Mir fällt erst jetzt auf, dass du das schon mal gemacht hast - aber ohne Erfolg

  10. #10
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    Hi Spooky,

    ich habe Deinen Code genauso eingefügt und nur den Pfad zur .htusers angepasst.

    Ergebnis: gleiches Verhalten wie mit meinem Code. Die Seite ist trotz Verzeichnisschutz weiterhin erreichbar.

    Kommentiere ich übrigens die Zeile in der Original Contao-htaccess aus:
    Code:
    RewriteRule ^ %{ENV:BASE}/app.php [L]
    dann funktioniert der Verzeichnisschutz so wie er soll. Aber dann geht natürlich alles andere nicht mehr

    Danke und Grüße
    juju

  11. #11
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    Mir fällt erst jetzt auf, dass du das schon mal gemacht hast - aber ohne Erfolg
    Ja, aber bei einem anderen Hoster mit anders gearteten Problemen.

  12. #12
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    Es kann doch nicht sein, dass hier jeder sagt, bei ihm funktioniert es und bei mir funktioniert es mal und mal nicht.

    Ich habe bei all-inkl auf diese Art und Weise erfolgreich einen Passwortschutz für Contao 4.4 anlegen können. Bei cyon und DomainFactory will das einfach nicht klappen.

    Gibt es wirklich niemanden, dem es auch so geht oder schützt Ihr Eure Entwicklungsumgebungen nicht vor Zugriff durch Suchmaschinen oder Neugierige?

    Danke und Grüße
    juju

  13. #13
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    20.546
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von juju Beitrag anzeigen
    Gibt es wirklich niemanden, dem es auch so geht oder schützt Ihr Eure Entwicklungsumgebungen nicht vor Zugriff durch Suchmaschinen oder Neugierige?
    Doch - eben mit dem Code, den ich gepostet habe. Bisher hatten wir damit noch bei keinem Hoster ein Problem. Wir haben allerdings auch keinen Kunden bei Cyon oder DomainFactory.

  14. #14
    Contao-Nutzer Avatar von Nightwing
    Registriert seit
    29.05.2013.
    Beiträge
    178

    Standard

    Hallo Spooky / juju,

    so, wie ich das hier lese, habt Ihr ein kleines Missverständnis, oder ich irre mich

    Ich lese es so, das juju eine Entwicklungsumgebung, sprich also auch das Frontend, komplett schützen will. Ich nutze auch die Einträge von Spooky, die .htaccess liegt im /web Verzeichnis, wohin auch die URL zielt.

    Code:
    # SetEnvIf Request_URI ^/(contao($|/)|contao-manager\.phar\.php($|/)|app_dev\.php($|/)|_backup($|/)) require_auth=true
    AuthUserFile /www/htdocs/xxxxxxx/_neu/web/.htpasswd
    AuthGroupFile /dev/null
    AuthName "Contao Backend Authentification"
    AuthType Basic
    require valid-user
    Order deny,allow
    Deny from all
    # Allow from env=!require_auth
    Allow from xx.xx.xxx.xx
    Satisfy any
    Wenn ich die beiden Zeilen auskommentiere (Zeile 1, 9), wie man im Code oben sieht , dann ist alles komplett geschützt. Sind die beiden Zeilen aktiv, dann gilt der Schutz nur auf Backend / Manager / Install, eigener Link, ...
    Ich hab zusätzlich noch meine IP Adresse eingetragen, und muss am heimischen PC mich dann auch nicht anmelden.

    ToM
    Mein kleiner Contao Spielplatz - Status: Portierung von 2.11.17 auf 4.7.x in Arbyte... Fertsch :-)

  15. #15
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    Hallo Nightwing,

    danke für Deine Antwort!

    Ich habe inzwischen auch Deinen Vorschlag getestet und es ändert nichts. Ich habe allerdings nicht die IP-Sperre verwendet, da ich jeden Tag eine neue IP von meinem Provider erhalte und diese nicht jedesmal neu eintragen möchte.

    Jedenfalls ist das Frontend trotz Deines Codes weiterhin erreichbar genau wie der Contao Manager (contao-manager.phar.php). Beim Aufruf des Backends auch keine Änderung: Es wird zwar der Verzeichnisschutz Dialog angezeigt, der wird aber offensichtlich nur auf Dateien angewendet, weshalb beim Wegklicken des Dialogs trotzdem das BE-Login aufgerufen wird aber ohne css.

    Meint Ihr ich sollte dazu ein Ticket aufmachen, dass ein Verzeichnisschutz zusammen mit dem bestehenden Contao-htacces-code teilweise Probleme mit sich bringt?

    Danke und Grüße
    juju

    PS: Und es geht mir tatsächlich darum, während der Entwicklungsphase alles zu schützen, also Frontend, Backend und Contao-Manager. Nur falls das noch unklar gewesen sein sollte

  16. #16
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    20.546
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von juju Beitrag anzeigen
    Meint Ihr ich sollte dazu ein Ticket aufmachen, dass ein Verzeichnisschutz zusammen mit dem bestehenden Contao-htacces-code teilweise Probleme mit sich bringt?
    Man müsste mal genauer analysieren, warum das bei dir nicht funktioniert.

  17. #17
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Man müsste mal genauer analysieren, warum das bei dir nicht funktioniert.
    Ich fürchte dazu fehlt mir das Knowhow. Hast Du einen Tipp, wie ich vorgehen könnte? Es ist ja wie gesagt nicht nur bei DF problematisch sondern auch bei cyon und das ungewünschte Verhalten ist bei beiden unterschiedlich - macht also einen klaren Ansatz zu Analyse schwierig.

    Nur nochmal kurz zur Info: Der Verzeichnisschutz selbst funktioniert! Wenn ich nur meinen Code in der htaccess stehen habe, funktioniert er so wie er soll. Erst wenn ich die Contao-Standard-htaccess-Einträge hinzufüge funktioniert er nicht mehr so wie er soll.

    Danke und Grüße
    juju

  18. #18
    Administrator Avatar von xchs
    Registriert seit
    19.06.2009.
    Beiträge
    13.575
    User beschenken
    Wunschliste

    Standard

    Wo hast Du denn den Verzeichnisschutz in Deiner .htaccess eingefügt?
    Contao Community Administrator
    [Unterstützungsmöglichkeiten]

  19. #19
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard

    Die htaccess liegt im web Ordner.

    Der Verzeichniscode innerhalb der htaccess als erstes (hatte es aber auch mal testweise ganz nach unten gesetzt, ohne dass sich etwas geändert hätte)

    Danke und Grüße
    juju

  20. #20
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    283

    Standard Probleme bei DF gelöst

    Liebe Helfende,

    ich habe nun den Grund des Problems gefunden.

    Mein Vorgänger hatte auf oberster Ebene des Webspace' eine .htaccess hinterlegt, die alle ErrorDocuments auf die /index.php umleitet. Und das war mir nicht bewusst. Also habe ich das aukommentiert und jetzt funktioniert es so wie es soll.

    Also offensichtlich keine Konflikte zwischen den Standard-Einstellungen der .htaccess von Contao.

    Vielen Dank für Eure Unterstützung
    juju

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •