Michael Vogt schrieb: >> Hi. > Hallo Holger, Re hi ;) >> Nun ja, Du (!) kannst es ändern, allerdings nicht evtl. andere Nutzer. >> Diese können allerdings eine .htaccess ändern. Das sie da nicht alles >> rein schreiben sollen ergibt sich dann von selbst. > Okay das stimmt, wenn man "Untermieter" hat oder Userdirs sollte man es > da erlauben, wenn auch stark eingeschränkt (wie es auch bei apache2 im > mod_userdir per default ist). Naja, ich bin noch bei einer Internetagentur. Die Server die ich da betreue sind meist von Untermietern "befallen" ;) Auch Userdir sind da leider weniger gefragt. Aber ich lasse trotzdem die Standardeinstellung, das nichts überschrieben werden darf, in der Hauptkonfiguration und aktiviere die Einstellungen erst auf Anfrage. >> Aus Erfahrung wird über die htaccess meist ein HTTP Basic Auth oder aber >> - momentan der totale Trend - mod_rewrite und entsprechende Regeln >> konfiguriert. Das - glaube mir - willst Du nicht immer in Deinen >> vhost-Konfigurationen anpassen (ich wäre sonst schon längst Amok >> gelaufen....)! > Ich nutze inzwischen auch noch lighttpd. Da habe ich auch ein > wordpress-blog, ein forum sowie ein selbstgeschriebenes "CMS" am laufen, > alle mit mod_rewrite (bzw dessen Entsprechung bei lighttpd). Da gibt es > ja sowas wie .htaccess nicht, und ich finde das zentral in der conf auch > nicht wirklich schlecht. Auth ist bei lighttpd (imho) eh einfacher, > wegen einem netten auth-mysql-modul (gibts bei apache2 auch, ist aber > nicht halb so gut einzurichten). Ja, der lighty ist recht nett. Habe ich mir auch mal - im Rahmen von vServer Tests - angeschaut. Ich find ihn allerdings weniger flexibel. Und spätestens bei der LDAP Authentifizierung bin ich gescheitert (was nicht heißt das es nicht geht ;) ) Es gab noch ein paar andere Kleinigkeiten, die mich nicht ganz überzeugt haben. Zum Beispiel die PHP-Integration (ICH HASSE CGI!) Aber back to topic: Wie kann ein normaler Nutzer dann "mal schnell" eine HTTP Basic Authentifizierung dazwischen schalten, wenn er keinerlei Zugriff auf die Konfigurationen hat? >> Einen Nachteil - für mich momentan der einzige, der mich immer wieder >> zum genauen Nachdenken bringen würde - möchte ich nicht verschweigen. >> Dadurch, das Regeln in Unterverzeichnisse vererbt werden und in jedem >> Verzeichnis überschrieben werden können, muss der Apache immer den >> gesamten Pfad ab dem Document Root "abgrasen". Das kostet Resourcen. Je >> nach Auslastung sollte man da überlegen. > amit das ins Gewicht fällt, muss es aber wirklich eine sehr gut besuchte > Seite sein (wobei apache2 ja eh gegenüber anderen Webservern eine hohe > "Standardauslastung" hat. Diese war auch der Grund bei meiner eher > schwach besuchten Seite auf lighttpd umzusteigen.). Oder sehe ich das > falsch? Naja, auch Kleinvieh macht Mist. Und nicht jedes Projekt, welches online gestellt wird, glänzt mit flachen Ordnerhierarchien. Wenn ich dann diverse solcher Anwendungen auf dem Server habe summiert sich das schon beim Plattenzugriff und der Speicherauslastung. Wobei das beim Apache recht gut skaliert (kann recht modular eingerichtet werden), wenn auch nicht out-of-the-box. Aber ja, erst bei einer gewissen Frequentierung des Servers fällt das ins Gewicht und soweit ich es bis jetzt erlebt habe, sind auch andere "Feinheiten", wie exzessive und unoptimiert Datenbankzugriffe oder keine Caches eher Kandidaten für einen langsamen Server als die physikalischen Zugriffe auf die Platte. > >> Auch bei sensiblen Daten - die bei einer Schule höchstens bei >> Vertretungsplänen (wenn es noch so ist wie bei mir früher) oder Zugriff >> / Angaben zu persönlichen Daten - würde ich mir arg überlegen, ob und >> was über eine htaccess Datei noch manipuliert werden dürfte. > Der Vertretungsplan ist sensibel? Den gab (und gibt es immernoch) bei > meiner Schule frei im Internet. Sogar eine komplette Lehrerliste, eine > Zeit lang gab es auch die kompletten Klassenstundenpläne.. (Wobei: Es > gibt sogar das komplette logfile inkl. ip zum Download, wenn man den > (nicht allzuschweren) dateinamen errät.... Wir hatten noch nie die > schlausten Lehrer..) Frag nicht nach Sonnenschein. Mein Schulleiter hat mich bald für die Idee schon getötet. Das Problem ist wirklich der Punkt, der in einer anderen Mail angesprochen wurde - die "Ausfallquote". Das ist etwas, was Schulen seeehr ungern offenbaren. Mittlerweile wird es allerdings angeboten, jedoch wird dazu ein Java-Tool und ein Key benötigt. So kommen halt doch Komfort und Sicherheit zusammen ;) So long, Holger
Attachment:
signature.asc
Description: OpenPGP digital signature