باسوورد باستخدام .htaccess

[بيل جيتس]

ممكن احد ياشباب يشرح لنا

كيف نحمي المجلد باستخدام .htaccess

تكفون والله الموضوع يحتاجه الكثير

وانا مستعجل عليه

مااظن ربع سوالف يخيبون ظني

[زاجل]

السلام عليكم

الحقيقة لم أقم بتجربة ذلك من قبل لكن أظن أن الوصلات التالية ستفيدك:

http://www.psoft.net/htaccess.html

http://www.instinct.org/~pgl/htaccess.html

http://cpindia.net/support/htaccess.shtml

http://robbie.virtualave.net/how-to/passprot.html

وإذا أردت المزيد:

http://www.alltheweb.com/cgi-bin/adv...its=10&nooc=on

واعذرنا على التقصير

[أبو حازم الاسكندراني]

قد قدمت من قبلُ شرحًا مسهبًا عن ملفات htaccess. وكيفية حماية المواقع عن طريقها .. فلتتفضل بزيارة الموضوع إن شئت :

http://www.alsunah.net/vb/showthread.php?threadid=2383

[أبو حازم الاسكندراني]

و للفائدة أنقله هاهنا :

• كيف تحمي موقعك بكلمة مرور
  __________________
  إن من الميزات الهامة التي ينبغي توفرها في مواقع الوب هي وجود بعض الأقسام على الموقع التي تُخصَّـص لدخول بعض المستخدمين أو الأعضاء دون غيرهم .
  
  تستخدم هذه الطريقة في العادة للحلول دون دخول غير مُدراء أو أعضاء الموقع الذين يحصلون على العضوية إما بمقابل مادي ما ، أو بمجرد تعبئة بيانات خاصة يطلبها الموقع ، وكثيرا ما تستخدم في مواقع التجارة الإلكترونية و البرامج التي يتم تنزيلها بمقابل .
  
  
  هناك طريقتان لحماية صفحات الوب : أولاهما عن طريق ما يسمى بـ (HTTP Authentication) أي نظام التوثيق لبروتوكول إتش تي تي بي .
  وهو ما سنتطرق إليه من خلال الأسطر المقبلة إن شاء الله .
  
  أما الثاني فهو عن طريق النصوص البرمجية المختلفة الموجهة للعمل مع جهة المزود (CGI Scripts) و التي غالبا ما تستخدم الكوكيز في التحقق من المستخدمين الذين يحق لهم الدخول .
  لكن من عيوب هذه الطريقة إنه ينبغي إدراج نص هذا البريمج في كل مستند من المستندات الأخرى التي لها علاقة بالأمر ومع ذلك فلا يمكن حماية مستندات الإتش تي إم إل البسيطة والصور المرتبطة بها في نفس الدليل الحالي أو غيره كما في الطريقة الأولى .
  
  
  نظام التوثيق لبروتوكول إتش تي تي بي (HTTP Authentication) :
  ___________________________________________
  
  مع هذا النظام سوف تستطيع حماية كامل الدليل بكافة الملفات والمجلدات التى تتفرع منه ، فلو استخدمته مع الدليل الجذري (الدليل الرئيسي) فهذا يعني إنه لن يتمكن أحد من الدخول إلى موقعك أبدا إلا بعد إدخال اسم مستخدم وكلمة مرور !
  
  ننتقل الآن مستعينين بالله لتطبيق خطوات هذا الإجراء:
  
  • أول ما نبدأ بعمله هو اختيار الدليل المراد حماية الملفات التى بداخله ولنعطه في مثالنا هذا اسم (user) و الذي من المفروض تكون صلاحيته إفتراضيا : 755 .
    
  • الخطوة التالية هي إنشاء ملف باسم (htaccess.) وانتبه للنقطة جيدا قبل اسم الملف .
    [ النقطة قبل اسم الملف في نظام يونيكس تعني أن هذا الملف ملف مخفي و يمنع قراءته من قبل زوار الموقع ]
    و إن تعذرت تسمية الملف عندك فأطلق عليه اسم (htaccess.txt) ثم بعد تحميله إلى المزود أعد تسميته إلى htaccess.
    
  • أكتب التالي في هذا الملف :
    
    كود:

    AuthUserFile /path/to/YourDir/.htpasswd
    AuthName "أدخل كلمة المرور"
    AuthType Basic
    <limit GET>
    require valid-user 
    </limit>

    أما إن أردت أن لا يتم الدخول إلا باسم مستخدم واحد فحسب فاكتب require user YourUserName مع إدراج اسم المستخدم ، بدلا من عبارة require valid-user ، لكني لا أرى أية فائدة من استعمال هذه الطريقة .
    فهذ الشيء يمكن تعيينه عن طريق ملف htpasswd. أي يمكنك حصر المستخدمين كمستخدم واحد أو إضافة ما يحلو لك من المستخدمين .
    
    و لا تنس إدراجَ المسار إلى ملف (htpasswd.) الذي سنقومُ بإنشائِه في الخـطوة التالية .
    
    
  • بنفس الوسيلة السابقة لإنشاء ملف htaccess. قم بإنشاء ملف باسم (htpasswd.) وحمله إلى المزود بنفس الطريقة بعد أن تكتب اسم المستخدم وكلمة مروره المشفرة على التنسيق التالي :
    
    كود:

    user1:EncryptedPassword1
    User2:EncryptedPassword2
    User3:EncryptedPassword3

    [ و التشفير يتم عبر أمر اليونيكس ـ عن طريق التيلنت ـ htpasswd أو عن طريق أحد النصوص البرمجية التي سنتطرق لها لا حقا بإذن الله ]
    لكن يمكننا أن نكتفي ببرنامج CGI صغير يقوم لنا بهذه العملية ، وذلك على الموقع التالي :
    http://www.cache-22.co.uk/cgi-local/c22encrypt.pl
    
    و اعلم بأنه لا يُشترط تسمية هذا الملف بذلك الاسم لكن إن استخدمتَ اسمًا آخر فما عليك إلا أن تضعَ مساره في ملف htaccess. كما تقدَّم .
    
  • أما إن أردت حماية ملف معين فحسب فاكتب التالي في هذا الملف :
    
    كود:

    <files "MyFilename.here"> 
    AuthUserFile /path/to/YourDir/.htpasswd
    AuthType Basic 
    AuthName "أدخل كلمة المرور"
    require valid-user 
    </files>

    فإذا أردت حماية أكثر من ملف فما عليك إلا تكرار السابق لكل من تلك الملفات في نفس ملف htacces. هذا .
  
  و في الختام هناك أكثر من طريقة لحماية صفحات الوب كما تقدم ذكره آنفا .
  ولكن هذه فقط هي الطريقة الأمثل و الأضمن لتوفير أعلى قدر حقيقي من الحماية والأمان على مزودات اليونيكس وما توافق معها.

(نهاية الجزء الأول)

[أبو حازم الاسكندراني]

• تطرقنا فيما سبق لهيئةِ تنسيقِ ملفات htpasswd. و ذلك بكتابة أسماء المستخدمين
  ثم نقطتان تتبعهما كلمة المرور المشفرة عن طريق إحدى المواقع التي تزود هذه الخدمة .
  
  وقد ذكرنا طريقتين للقيام بهذه العملية :
  
• الأولى : عن طريق بروتوكول Telnet .
• و الثانية : عن طريق نص برمجي (CGI Script) .
  
  فأما الأولى فتتم عن طريق أمر اليونيكس التالي ( إن كنت تستطيع الوصول إلى موقعك عن طريق حساب Telnet ) :
  
  كود:

      htpasswd -c .htpasswd user1
                  [  و سوف تتلقى محثا لإدخال كلمة المرور المطلوبة للمستخدم الأول ]
      htpasswd .htpasswd user2
                  [  و سوف تتلقى محثا لإدخال كلمة المرور المطلوبة للمستخدم الثاني ]
      htpasswd .htpasswd user3
                  [  و سوف تتلقى محثا لإدخال كلمة المرور المطلوبة للمستخدم الثالث ]

  مع العلم بأن البارمتر c- للأمر htpasswd يقوم بإنشاء ملف htpasswd. جديد ، أي إنك لن تحتاجَ له إلا في المرة الأولى فحسب .
  
  و أما الثانية فسنعرضها لسهولتها وبساطتها على الطريقة الأولى .
  
  فسنتناولُ الآنَ تركيبَ برنامجٍ باللغة العربية يقوم بهذه المَهمة على مزودِ الخدمة الخاص للحصولِ على أعلى قدرٍ من الأمان في التشفير
  مضاهية للطريقة السابقة بالتيلنت.
  
  والبرنامج مكتوبٌ بلغةِ Perl المألوفة .
  أي يُعامل كأي ملف CGI من ناحية التحميل كـ ASCII ، و تغيير الصلاحية للملف إلى 755 ،
  مع تعديل السطر الأول من البرنامج إلى مسار البيرل على مزود الخدمة .
  
  وقد عدلتُ الملف بحيث يمكنُكَ تسميته بأي اسم ( بالامتداد pl أو cgi ) دونَ الحاجةِ لإجراء أيةِ تعديلاتٍ عليه .
  
  كود:

  #!/usr/bin/perl
  
  #############################################################
  # c22encrypt.pl	-		Encryption script for use with httaccess etc..			
  # Written by	-		Richard Livsey of Cache-22					#
  # E-mail		-		R.Livsey@Cache-22.co.uk					#
  # Web Site		-		http://www.cache-22.co.uk				
  #############################################################	
  # Disclaimer etc..										#
  # We at Cache-22 accept no responsibility for any damage to property or profits		
  # associated with the use of this script.							#
  # Feel free to use this script and modify it how you want. If you do do anything to
  # it, then please leave this top part intact.							#
  # If you wish to use this script then please contact us at the e-mail address above	
  # and tell us what you are doing with it.							#
  #############################################################
  print "Content-type: text/html\n\n";
  
  #modify the following variable
  
  # the path to the script
  $script_path = "$ENV{$scriptname}";
  
  #chmod this file to 755
  #Just call the file and thats all you have to do.
  
  ### We do not support the script if modified below. ###
  
  &process_query;
  
  if ($in{'action'} ne "process") {
  	&html_form;
  }
  else {
  	&process_form;
  	$pass = $FORM{'pass'};
  	$pass = crypt($pass, "Cd");
  	print "<html><body bgcolor=#000000 text=#FFFFFF><br><br><center><b> كلمة المرور المشفـرة</b><table bgcolor=#CCCCCC border=1 bordercolor=red cellpadding=4 cellspacing=1><tr><td><font color=#000000><b>$pass</b></font></table></center></BODY></HTML>";
  }
  
  
  
  #subroutines
  
  
  sub process_query{
  
  	if (length ($ENV{'QUERY_STRING'}) > 0){
  	$buffer = $ENV{'QUERY_STRING'};
  	#seperate all name/value pairs at the &
  	@pairs = split(/&/, $buffer);
  	foreach $pair (@pairs){
  		#seperate each name/value pair at =
  		($name, $value) = split(/=/, $pair);
  		$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
  		$in{$name} = $value; 
  		}
  	}
  }
  
  sub process_form{
  
  	read(STDIN, $buffer, $ENV{'CONTENT_LENGTH'});
  
  	@pairs = split(/&/,$buffer);
  	foreach $pair(@pairs) {
  		($name, $value) = split(/=/,$pair);
  		$value =~ tr/+/ /;
  		$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
  		$FORM{$name} = $value; 
  	}
  }
  
  sub html_form{
  	print<<"EOF";
  	
  	<HTML  dir=rtl>
  	<HEAD>
  	<TITLE>  تشفير كلمات المرور </TITLE>
  	<META http-equiv="Content-Type" content="text/html; charset=windows-1256">
  	</HEAD>
  
  	<BODY bgcolor="#000000">
  	<br><br><br>
  	<FORM method="post" action="$script_path?action=process" name="encrypt">
    	<FONT face="Arial, Helvetica, sans-serif"> </FONT> 
    	<TABLE width="0" border="0" cellspacing="1" cellpadding="1" align=center bgcolor=#CCCCCC>
  	    <TR> 
  	      <TD width="200" align="center" colspan="2"><b>
  		<FONT face="Simplified Arabic,sans-serif" size=3> كلمة المرور المراد تشفيرها :
  	        </FONT></TD>
  	    <TR>    
  	      <TD align="center">
  	        <INPUT type="text" name="pass" dir=ltr>
  	      </TD>
  	    </TR>
  	    
  	    <TR>
  	      <TD align="center"> 
   	       <P>
  		<INPUT type="submit" name="Submit" value=" تشـفــيـر ">	        </P>
  	        </TD>
  	    </TR>
  	  </TABLE>
  	</FORM>
  	<P> </P>
  	<P> </P>
  	</BODY>
  	</HTML>
  
  EOF
  
  }

(نهاية الجزء الثاني)