Das Problem ist bekannt: Sie möchten Daten mit Ihren Freunden über Ihren Webserver austauschen, wollen aber nicht, dass Fremde diese Daten abrufen können. Das Verzeichnis, in dem sich die Daten befinden, muss also einen Zugriffsschutz erhalten.

Meist gibt es für diese Zwecke eine Funktion im Verwaltungsprogramm des Webservers. Bei Plesk ist das zum Beispiel die Funktion „Passwortgeschützte Verzeichnisse“. Man kann sich aber auch helfen, wenn der Verzeichnisschutz vom Provider nicht unterstützt wird.

Mit dem Apache-Webserver oder mit anderen NCSA-kompatiblen Webservern kann man zum Verzeichnisschutz das Konzept der .htaccess-Dateien verwenden. Mit einer .htaccess-Datei kann man noch einiges mehr machen, denn es handelt sich um eine Konfigurationsdatei mit vielen Möglichkeiten. Hier wollen wir aber nur den Einsatz für den Verzeichnisschutz abklären.

Eine typische .htaccess-Datei sieht in etwa so aus:

# .htaccess-Datei
AuthType Basic
AuthName "Zugangsschutz"
AuthUserFile /var/www/vhosts/meinedomain.de/httpdocs/freunde/.htusers
Require user  test

Das Doppelkreuz, auch „Lattenzaun“ genannt, leitet eine Kommentar-Zeile ein, die nicht ausgewertet wird. AuthType, AuthName und AuthUserFile sind notwendige Angaben für die Authentifizierung von Besuchern. Der AuthType „Basic“ bezeichnet die einfache Authentifizierung über das HTTP-Protokoll. Die Zeichenkette in AuthName wird bei der Abfrage von Username und Passwort angezeigt. Unter AuthUserFile muss der komplette physikalische Pfad des Servers bis zu dem Verzeichnis, das geschützt werden soll, eingetragen werden. Achtung: das ist nicht der Pfad zum Root-Verzeichnis des Virtuellen Servers /.

Zumindest eine Require-Anweisung muss auch vorhanden sein. Require user gibt an, dass sich nur die dahinter stehenden Benutzer einloggen können.

Die .htaccess-Datei alleine löst das Problem noch nicht, denn es muss nach die unter AuthUserFile angegebene Datei existieren, in der die User mit ihren verschlüsselten Passwörtern stehen. Die Verschlüsselung der Passwörter geschieht zum Beispiel mit dem DOS-Programm htpasswd.exe, das man im Internet downloaden kann. Dieser Programmaufruf in einer DOS-Box unter Windows erzeugt direkt eine .htpasswd-Datei mit dem Benutzer und dem verschlüsselten Passwort:

test:RxIbLNCh2plf.

Beide Dateien, die .htaccess und die .htpasswd, werden abschließend per FTP in das zu schützende Verzeichnis des Webservers transferiert und damit der Schutz aktiviert.