Verzeichnis mit .htaccess schützen - keine Passwortabfrage

Shopware 5 Sonstiges
1

Hallo,

ich möchte ein Verzeichnis (z.B. backup) mit einem .htaccess Verzeichnisschutz shützen.
Wird das Verzeichnis (z.B. https://www.meinedomain.shop/backup) jetzt im Browser aufgerufen kommt keine Passwortabfrage, sondern es wird die Startseite des Shops angezeigt und in der Adressleiste des Browsers steht https://www.meinedomain.shop/error/401-authorization.html
Anscheinend beeinflusst die Shopware .htaccess Datei im Webroot die .htaccess Datei im Unterverzeichnis.

Hat hier jemand eine Idee bzw. kann mir hier jemand helfen was ich in der Datei im Webroot anpassen muss damit es funktioniert.

Grüße
Martin

RewriteEngine on

#RewriteBase /shopware/

RewriteCond %{HTTPS} !=on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Https config for the backend
#RewriteCond %{HTTPS} !=on
#RewriteRule backend/(.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

RewriteRule shopware.dll shopware.php
RewriteRule files/documents/.* engine [NC,L]
RewriteRule backend/media/(.*) media/$1 [NC,L]

RewriteCond %{REQUEST_URI} !(\/(engine|files|templates|themes|web)\/)
RewriteCond %{REQUEST_URI} !(\/media\/(archive|banner|image|music|pdf|unknown|video)\/)
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ shopware.php [PT,L,QSA]

# Fix missing authorization-header on fast_cgi installations
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]



    # Block access to VCS directories
    RedirectMatch 404 /\\.(svn|git|hg|bzr|cvs)(/|$)

    # Restrict access to root folder files
    RedirectMatch 404 /(composer\.(json|lock)|README\.md|UPGRADE\.md)$


# Staging environment
#SetEnvIf Host "staging.test.shopware.in" SHOPWARE_ENV=staging

# Development environment
#SetEnvIf Host "dev.shopware.in" SHOPWARE_ENV=dev
#SetEnv SHOPWARE_ENV dev

DirectoryIndex index.html
DirectoryIndex index.php
DirectoryIndex shopware.php

# Disables download of configuration

    # Deny all requests from Apache 2.4+.
    
          Require all denied
    

    # Deny all requests from Apache 2.0-2.2.
    
        Deny from all
    


# Enable gzip compression

    AddOutputFilterByType DEFLATE text/html text/xml text/plain text/css text/javascript application/javascript application/json



    
        ExpiresActive on
        ExpiresDefault "access plus 1 month"
    

    
        Header append Cache-Control "public"
        Header unset ETag
    

    FileETag None


# Match generated files like:
# 1429684458_t22_s1.css
# 1429684458_t22_s1.js

    
        Header set Cache-Control "max-age=31536000, public"
    

    
        ExpiresActive on
        ExpiresDefault "access plus 1 year"
    


# Disables auto directory index

# Options -Indexes



# Options -MultiViews



# php_value memory_limit 256M
# php_value max_execution_time 120
# php_value upload_max_filesize 20M
   php_flag phar.readonly off
   php_flag magic_quotes_gpc off
   php_flag session.auto_start off
   php_flag suhosin.session.cryptua off
   php_flag zend.ze1_compatibility_mode off
   php_value always_populate_raw_post_data -1


# AddType x-mapp-php5 .php
# AddHandler x-mapp-php5 .php


    Header append X-Frame-Options SAMEORIGIN

 

2

Um das mal nachzuvollziehen habe ich den Ordner mal angelegt:

https://shop.zwilla.de/backup/

Bei mir kommt dann: 

Forbidden

You don’t have permission to access /backup/ on this server.

Apache/2.4.29 (Ubuntu) Server at shop.zwilla.de Port 443

 

lege ich nun eine Datei mit dem Namen: index.php an, dann kommt einfach eine leere Seite mit NIX

 

Hammer!

Lege ich nun die Dateien: .htaccess und .htpasswd starte sogar den Server neu, kann man auf die Datei zugreifen…

 

OK

dann versuchen wir mal das:

<directory>
  AuthType Basic
  AuthName "Authentication Required"
  AuthUserFile "/var/www/html/shop.zwilla.de/backup/.htpasswd"
  Require valid-user

  Order allow,deny
  Allow from all
</directory>

Dann klappt es!

Und immer schön den Server neustarten bei solchen Sachen

 

Cheers

Zwilla

 

p.s. oben das auf deinen Server anpassen, entweder im root deines Webservers .htaccess eintragen (benutze ich niemals)

besser direkt in die ServerConf einbinden!

Testen: hallowelt und hallowelt

3

p.s. falls das 

Header append X-Frame-Options SAMEORIGIN

bei auch nur irgend jemanden richtig eingestellt ist, dann läuft der Plugin-Manager nicht mehr.

Also bei allen denen, jenen, welchen wo der Plugin Manager noch läuft, haben entweder tatsächlich auch am Server alles und das ist nicht wenig richtig eingestellt oder

einfach nur alles falsch gemacht.

Hier mal einen Server von mir zum Testen, falls dein Computer/Tablet/Smaprtphone die Seite nicht mal anzeigen kann, gibt es nur zwei Möglichkeiten:

  1. Deine Verbindung wird durch einen Man-In-The-Middle Proxy belauscht, 

  2. Die Software auf einem Gerät einfach zu alt um sicher durch das Web zu surfen!

https://mytokenwallet.com

Wer an einer solch nahezu perfekt sicheren Lösung interessiert ist kann sich gerne bei mir melden.

p.s. umsonst gibt’s nur den Tod!

Danke!