|
Kao prvo ispricavamo se zbog kasnjenja, rijetko nam se to
dogadja ali se ipak dogadja :) Problem ovoga puta nije bio
u hardweru pa cak niti u softweru, zakazao je ljudski resurs
:) Vidimo se iduci tjedan - na vrijeme.
Zastita direktorija passwordom
Napisao: Marko Radelic © 2001
- 2002
Jedno od najcesce postavljanih nam pitanja je ono kako passwordom
zastititi neki dio web stranice. Pod uvjetom da je na vasem
serveru jedan od operativnih sistema baziranih na unixu, u
tome ce vam pomoci ovaj vodic. Rijec je o najjednostavnijem
obliku zastite direktorija na serveru koji mozete napraviti
za svega par minuta uz pomoc dvaju malih text fileova: .htaccess
i .htpasswd.
Uvod
Ovaj oblik zastite se sastoji od dva filea: .htaccess i .htpasswd
filea. .htaccess je file koji daje do znanja serveru da su direktorij
i svi njegovi poddirektoriji zasticeni. Kada korisnik pokusa pristupiti
nekom fileu u tako zasticenom direktoriju, dobiti ce prozor koji ce
traziti upis korisnickog imena i lozinke. Na takvu ste zastitu sigurno
nailazili mnogo puta, a ako ne znate o cemu govorim, mozete pogledati
na 'zivom' primjeru - arhiva
besplatne-stvari.com newslettera je zasticena na ovaj nacin.
U slucaju da trazite nesto sofisticiranije, prodjite po
kolekcijama
skripti gdje se nalaze gotovi 'user management' sistemi.
Izrada .htaccess filea
Otvorite novi dokument u nekom od tekstualnih editora
(Notepad, Textpad...) i u njega pastajte sljedeci kôd:
<Files ~ "\.htpasswd$">
order deny,allow
deny from all
</Files>
AuthType Basic
AuthName UnesitePassword
AuthGroupFile /dev/null
AuthUserFile /home/korisnickoime/www/nekidir/.htpasswd
<Limit GET>
require user NEKIUSER
</Limit>
Podebljani dio kôda morate promijeniti. Prva stvar je path
do direktorija gdje cete smjestiti .htpasswd file - o njegovoj
izradi pise nize u tekstu. Ako niste upoznati s pathovima,
upute mozete naci u nasem vodicu
o instaliranju gotovih CGI skripti.
Takodjer promijenite 'NEKIUSER' u proizvoljan naziv tj. kako zelite
da se vas user zove. Upisanog usera cete morati navesti i u
.htpasswd fileu. Postupak dodavanja novih usera je jednostavan:
samo se ispod postojece dodaju nove linije s novim userima.
Isto vrijedi i kod .htpasswd filea. Ako zelite, mozete promijeniti
naziv iza AuthName (paziti da je jedna rijec, bez razmaka.
File snimite kao .htaccess i uploadajte ga u direktorij koji zelite
zastititi. Pripazite da ga ne stavite u root direktorij jer biste u
tom slucaju zastitili sve svoje stranice i poddirektorije.
Sad je jos samo potrebno napraviti .htpasswd file.
Izrada .htpasswd filea
U file .htpasswd se smjestaju korisnicka imena i passwordi. Svaka linija
treba sadrzavati kombinaciju korisnickog imena (usernamea) i passworda
koji mu je dodijeljen. Sigurnosti radi, passwordi trebaju biti u sifriranom
obliku (eng. encrypted), sto znaci da ce jedna takva linija izgledati
ovako:
maliperica:saGz5UqwD/W..
'maliperica' je dakle vas user,
a 'saGz5UqwD/W..' je tom useru dodijeljeni password, u ovom slucaju
rijec 'perinpass' u sifriranom obliku. 'Zasifrirati' passworde mozete
pomocu sljedece forme:
Dobiveni password pastajte u .htpasswd file
u obliku:
username:pass
Ako zelite imati vise usera napraviti cete ovako:
username1:pass1
username2:pass2
.itd
Pritome nemojte zaboraviti da
svakog usera morate upisati i u .htaccess file.
File snimite na isti nacin kao i .htaccess te
ga FTP-om posaljite u zeljeni direktorij. Iako su passwordi
sifrirani, sigurnosti radi najbolje je da ga stavite u vec
zasticeni direktorij ili u onaj isti gdje ste stavili .htaccess.
|
Izvojeno - problemi sa spremanjem filea
Kod spremanja filea na disk mozda cete naici na probleme.
.htaccess je neobicno ime za file (file nema 'ime' vec samo ekstenziju
od 8 znakova) pa se moze dogoditi da vam pod Windowsima nece biti
dozvoljeno snimiti ga pod tim imenom. U tom slucaju ga snimite kao:
.htaccess.txt
Pod tim imenom ga posaljite na server te ga tamo pomocu
FTP programa preimenujte u pravilan naziv: .htaccess
Ista je stvar i sa .htpasswd
fileom.
|
Pristup zasticenom dijelu
Ukoliko ste sve pravilno napravili, vas bi direktorij
trebao biti zasticen. Kada pokusate pozvati zasticenu stranicu/direktorij,
browser ce vam otvoriti box i traziti unos username-a i passworda.
Zasticene dijelove mozete pozivati
i na ovaj nacin:
http://username:password@www.vassite/dir/
Tada vam se nece otvarati box, vec ce browser odmah uci
u zasticeni dio. (Password se treba upisati u normalnom, ne-sifriranom
obliku.)
Zakljucak
Kao sto vidite, postupak nije kompliciran i vase cete
stranice moci zastititi za par minuta.
Svakako prije stavljanja u upotrebu istestirajte da li
sve dobro radi (sa svim usernameovima i passwordima) kako biste bili
sigurni da pristup zasticenom dijelu imaju samo osobe kojima ste dali
dopustenje.
O autoru:
Marko Radelic (marko@logit.hr)
- je Chief Marketing Manager Webmajstori.Net sitea i od njega
je zapravo pocelo sve. Okupio je ekipu koja je okupila ekipu
itd. Marko ima zaduzenje da se brine o promidzbi sajta i zna
stotine nacina kako dovesti i zadrzati posjetitelja na siteu.
Besplatne-Stvari.com,
Newsletteri.com i
Top-Lista.com, su samo
neki od tisuca siteova u kojima ima prste :) Marko radi za
tvrtku logIT (www.logit.hr)
koja se bavi internet marketingom i izradom web stranica.
|
Pretplatnika: 3889
Preporucite nas prijateljima!