Please note that I wrote PassTools some time ago. My interests have shifted, development has stopped, I even gave up programming in PHP at all. Bugs will only be fixed if someone reports them and I find time to do it. Don’t expect anything…
PassTools were written to simplify the process of applying password protection to directories on Apache Web servers. This package is based on Apache’s .htaccess authentication mechanism and consists of two independent tools.
- PassAdmin is intended for admin use and provides a Web-based password file editor that can add or delete users and change their passwords.
- PassChange is designed for users of a Web service and allows users to change their password, provided that they know their current one.
License: GPL
Programming language: PHP
Languages: English, German
Download: PassTools 0.9.3
Hallo,
gehe ich richtig in der Annahme, daß bei Verwendung von PassChange die Anwender Schreibrechte für die Datei .htpasswd haben müssen und damit theoretisch nicht nur die Datei einsehen, sondern generell auch ändern können (z.B. die Daten anderen Anwender? Wenn dem so ist, wäre PassChange aus Sicherheitsgründen nicht gerade zu empfehlen, oder?
Grüße,
Michael
Hallo!
Mir ist nicht ganz klar, wer mit “Anwender” gemeint ist.
* Benutzer der Webseite, die mit den Accounts aus der .htpasswd geschützt ist, können .htpasswd nicht einsehen, da Apache standardmäßig keine Datei ausliefert, deren Name mit .ht anfängt.
* Benutzer der Webseite können dank HTTP sowieso keine Datei auf dem Server ändern, außer eine Webanwendung erlaubt ihnen dies explizit (und dann muss diese Anwendung sicherstellen, dass nur bestimmte Dateien geändert werden können, sonst hat sie eine Sicherheitslücke – unabhängig von PassTools).
* Benutzer, die sich über SSH, FTP o.ä. einloggen können und dann Schreibzugriff auf die Dateien der Webseite haben, können durch einen Passwortschutz seitens Apache sowieso nicht daran gehindert werden, die Dateien einzusehen und zu ändern, denn sie nutzen ja Apache für den Zugriff auf die Daten gar nicht. Hier muss man den gewünschten Schutz über die Zugriffsrechte des Dateisystems regeln.