.htaaccess mit .htpasswd kein ausloggen mehr möglich?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
babylon05
Beiträge: 39
Registriert: 03.11.2009 16:33:22

.htaaccess mit .htpasswd kein ausloggen mehr möglich?

Beitrag von babylon05 » 31.12.2017 11:25:00

Hallo,
ich habe eine .htaccess Datei unter owncloud bearbeitet, da keiner sehen soll was hinter einer Homepageadresse steckt.

Owncloud hat schon von Hause aus eine .htaccess Datei mitgebracht.

Code: Alles auswählen

# Version: 8.2.2
<IfModule mod_headers.c>
  <IfModule mod_fcgid.c>
    <IfModule mod_setenvif.c>
       SetEnvIfNoCase ^Authorization$ "(.+)" XAUTHORIZATION=$1
       RequestHeader set XAuthorization %{XAUTHORIZATION}e env=XAUTHORIZATION
    </IfModule>
  </IfModule>

  <IfModule mod_env.c>
    # Add security and privacy related headers
    Header set X-Content-Type-Options "nosniff"
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Robots-Tag "none"
    Header set X-Frame-Options "SAMEORIGIN"
    SetEnv modHeadersAvailable true
  </IfModule>

  # Add cache control for CSS and JS files
  <FilesMatch "\.(css|js)$">
    Header set Cache-Control "max-age=7200, public"
  </FilesMatch>
</IfModule>
<IfModule mod_php5.c>
  php_value upload_max_filesize 10000M
  php_value post_max_size 10000M
  php_value memory_limit 9999M
  php_value mbstring.func_overload 0
  php_value always_populate_raw_post_data -1
  php_value default_charset 'UTF-8'
  php_value output_buffering 0
  <IfModule mod_env.c>
    SetEnv htaccessWorking true
  </IfModule>
</IfModule>
<IfModule mod_rewrite.c>
  RewriteEngine on
  RewriteRule .* - [env=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
  RewriteRule ^\.well-known/host-meta /public.php?service=host-meta [QSA,L]
  RewriteRule ^\.well-known/host-meta\.json /public.php?service=host-meta-json [QSA,L]
  RewriteRule ^\.well-known/carddav /remote.php/carddav/ [R=301,L]
  RewriteRule ^\.well-known/caldav /remote.php/caldav/ [R=301,L]
  RewriteRule ^apps/calendar/caldav\.php remote.php/caldav/ [QSA,L]
  RewriteRule ^apps/contacts/carddav\.php remote.php/carddav/ [QSA,L]
  RewriteRule ^remote/(.*) remote.php [QSA,L]
  RewriteRule ^(build|tests|config|lib|3rdparty|templates)/.* - [R=404,L]
  RewriteRule ^(\.|autotest|occ|issue|indie|db_|console).* - [R=404,L]
</IfModule>
<IfModule mod_mime.c>
  AddType image/svg+xml svg svgz
  AddEncoding gzip svgz
</IfModule>
<IfModule mod_dir.c>
  DirectoryIndex index.php index.html
</IfModule>
AddDefaultCharset utf-8
Options -Indexes
<IfModule pagespeed_module>
  ModPagespeed Off
</IfModule>
AuthType Basic
AuthName "Passwortgeschuetzter Bereich"
AuthUserFile /home/Benutzer/.htpasswd
Require valid-user
Dort habe ich die letzten 4 Zeilen ergänzt. Die eingegebenen Daten für Benutzername und Passwort im Anmeldefenster sind die gleichen, die ich auch im owncloud Anmeldefenster eingebe. Nach dem eingeben im .htaccess Fenster logt er sich automatisch in owncloud ein ohne noch einmal ins Anmeldefenster Owncloud zu springen. Da ich in meiner owncloud mehrere Benutzer habe, kann ich dann leider nicht mehr in owncloud auf abmelden gehen, dann springt er automatisch wieder mit dem letzten Benutzername wieder in owncloud.

Mein Sinn war es einfach, dass man sich an 2 Anmeldefenster anmelden muss mit den gleichen Anmeldedaten.

Nachtrag:

Gebe ich in der htpasswd einen Benutzernamen und Passwort vor, welcher nicht in owncloud existiert erscheint das owncloud Anmeldefenster.

DeletedUserReAsG

Re: .htaaccess mit .htpasswd kein ausloggen mehr möglich?

Beitrag von DeletedUserReAsG » 31.12.2017 12:06:21

Ich würde zunächst in den Logs schauen.

Als Workaround, um sich mit ’nem neuen User einloggen zu können, könnte man die Cookies manuell löschen.

babylon05
Beiträge: 39
Registriert: 03.11.2009 16:33:22

Re: .htaaccess mit .htpasswd kein ausloggen mehr möglich?

Beitrag von babylon05 » 31.12.2017 12:09:59

In welchen Logs? Apache oder owncloud?

reox
Beiträge: 2460
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: .htaaccess mit .htpasswd kein ausloggen mehr möglich?

Beitrag von reox » 04.01.2018 18:11:08

Das liegt wohl daran, dass HTTP Basic Auth keinen Logout implementiert... Siehe auch hier: https://stackoverflow.com/questions/233 ... entication

Antworten