.htaccess und .htpasswd nicht sicher?

Hi,

die Passwortauthentifizierung wird vom Webserver vorgenommen (Wohlgemerkt nicht von dem Computer, den man ja auch schon mal Server nennt, sondern von dem Programm, welches die Anfragen servt(=bedient)). Dieses Programm prüft, ob der Benutzer, der Zugriff auf ein Verzeichnis oder eine Datei haben will, einen gültigen Benutzernamen mit dem richtigen Passwort gesendet hat. Man kann also auf keinen Fall einfach mit einem Programm direkt vom Server die Dateien verlangen, ohne einen gültigen Benutzernamen und das richtige Passwort zu kennen.

Zwei Möglichkeiten gibt es dennoch, um an die Daten zu kommen:

1. Man kann den Umweg über einen Rechner gehen, der bereits Zugriff auf das Verzeichnis hat. Man stellt also keine Anfrage an den Server, sondern an den Browser, der bereits eingeloggt ist und somit die Dateien abfragen darf.

2. Man fragt nicht den Webserver, sondern ein anderes Programm auf dem Zielrechner. Das siehst Du zum Beispiel, wenn Du per FTP auf die Dateien zugreifst. Dann brauchst Du auch nicht das Passwort eingeben. Du kannst in diesem Fall sogar direkt auf die .htaccess-Datei zugreifen, was Du über den Webserver nicht mal mit dem richtigen Passwort kannst.

Diese zwei Möglichkeiten gibt es. Jetzt mal abgesehen von der theoretischen Möglichkeit, das Passwort zu erraten

Vielen dank für deine hilfe,
habe nun eine andere lösung über httpd.conf verzeichnis gefunden!

Funktionirt mit:
Opera mini
Firefox
google chrome
safari
internet explorer
Hidemyass.com (proxy server)
U.S.W,...
 

... httpd.conf ...

die httpd.conf ist doch die Konfigurationsdatei des Apache-Webservers? Die Informationen in der Konfigurationsdatei des Servers interessieren doch den Client (Browser) nicht die Bohne, der bekommt ja garnix davon mit... Das einzigste was der hört ist ja was ihm der Server zuruft, welcher die Konfigurationsdatei verarbeitet. Daher funktioniert das mit allen Browsern...

Das is genau wie mit den .htaccess und den .htpasswd, wie dir ja MBGucky schon erklärt hat.

Die werden genau wie PHP auf dem Server verarbeitet und nur das Resultat gelangt an den Client. Der Ursprüngliche Quelltext ist nur einsehbar, wenn man auf den Server kommt (bspw via FTP) oder ne Kopie davon hat... (hat ja auch MBGucky schon erklärt)

...ganz so uninteressant ist die Serverkonfigurations-Datei nicht 

Die grundlegenden Bedingungen für den Zugriffsschutz über die .htaccess werden in der httpd.conf (oder einer zugehörigen Datei) festgelegt.
Was überhaupt mit dieser Datei möglich ist usw., sogar ob das Ding überhaupt .htaccess heißen soll. 

...ganz so uninteressant ist die Serverkonfigurations-Datei nicht  ...

Das hat auch niemand gesagt

Nee, hat keiner. 

Aber da das Problem des TO ein Zugriffsproblem mit dem Browser war/ist und er sein eigener "Hoster" ist, war die Suche in der/den Konfigurationsdatei(n) des Webservers schon ganz okay.

Allerdings würde mich mal seine Lösung interessieren, da kann man sich schnell mal ein Eigentor schiessen....