password con dreamweaver

Buenas,

estoy creando un sitio web personal (lo tipico con fotos de familias,etc..) con dreamweaver y me gustaría limitar el acceso gracias a un password.

Bien, ya he buscado bastante por la web y creo haber encontrado la solución pero algo debo hacer mal ya que no me funciona...es como si tenia los tochos, pero no el cimento...que rabia!

Para simplificar, tengo lo siguiente:

1- las paginas

index.html, pagina de bienvenida con un formulario donde entrar el nombre y password

error.html, mensage de error del password con hipervinculo para volver a index


ok.html, pagina principal con acceso a todas las demas del sitio

el todo en una carpeta unica del escritorio: miweb

2-el sistema de password

un fichero .htaccess, con este contenido:

AuthUserFile /.htpasswd
AuthGroupFile /dev/null
AuthName "Acces Restreint"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>


y un fichero .htpasswd escondido en cualquiera subcarpeta de miweb,
su contenido es:

cel:eron

se supone que cel sera el nombre que ingresar y eron el password.


3- el formulario de la pagina index.html con su boton:


nombre del formulario: index
acción: .htaccess.txt (el .txt se añade solo)
metodo: post

nombre del boton: submit
etiqueta: enviar
acción: enviar formulario

campo de texto: nombre
campo de texto: password


......pero no funcciona ni en mi ordenador a travers del explorer, tampoco cuando subo toda la carpeta al servidor.


de hecho el formulario no se move


gracias por vuestra ayuda...y lo siento si aquella parte del foro no corresponde a mi post (lo de la informatica no es lo mismo y intento entender lo que puedo)

mmm,yo no se si se podra hacer con el htaccess,pero si tienes la posibilidad de usar una base de datos en tu servidor.....

a las malas sino es nada importantisimo,lo que puedes hacer es una comparacion,si nombre de usuario = nombre elejido x ti entonces tienes acceso, sino la pagina de error,es una solucion un poco cutre pero si son solo fotos,no creo que nadie se moleste en entrar

gracias Dane por tu respuesta.

De hecho esta web personal es a la vez un ejercicio previo, ya que gracias a lo que aprenderé haciéndola haré después mi sitio profesional.
Por eso importa que el acceso sea bien protegido ya que usaré luego la misma protección por el sitio profesional, de allí buscava solución con htaccess ou php...

utiliza PHP asi podrás usar variables y comprobar los datos ingresados y obviamente MySQL para que puedas hacer un mejor control de tu pagina...

Buenas lasnv,

estaría encantado de usar el php, el problema es que no tengo ni la remota idea de como se hace (no soy para nada informatico, con dreamweaver solo uso los asistante, nunca escribo codigo por no saber hacerlo).

Es por eso que había buscado una solución ya hecha tipo copiar-pegar con el htaccess...

en fin, si me puedes ayudar en el tema paso a paso (plan dummy) estaría encantado intentarlo!

un saludo

Hola,

Realmente es la mejor opción que tienes, no solo es mucho mas seguro sino además el procedimiento es sumamente sencillo, una vez que lo sabes hacer correctamente, o alguien de tu confianza te guía paso a paso.

Si no vas a usar AuthGroupFile no es necesario que lo escribas.

Nop, el archivo .htpasswd debe estar en un lugar específico, no puede estar en cualquier subcarpeta de tu web, por eso estás escribiendo 'AuthUserFile /.htpasswd' porque va a estar en la carpeta raiz del disco duro (para eso sirve poner la primera barrita inclinada). Y además debe ser generado por una herramienta que trae Apache denominada htpasswd, para encriptar las contraseñas.

¿Que puede significar eso? ¿Escribiste .htaccess.txt en el 'action' del 'form'? Y no, el archivo .htacces no puede llevar .txt al final. Pero tampoco es necesario hacer un formulario para que funcionen las contraseñas.

Además necesitas modificar el archivo de configuración de Apache, httpd.conf, para habilitar el uso de la directiva AuthType en archivos .htaccess, escribiendo 'AllowOverride AuthConfig' en el 'Directory' donde vas a colocar el .htaccess. Por defecto es All, pero normalmente viene configurado con None. Pero eso solamente lo puede hacer el administrador del servidor web.

Y no .. no necesitas hacer un formulario para pedir el nombre de usuario y la contraseña, eso viene de gratis con Apache, el browser y el .htaccess con AuthType Basic.

Desde mi punto de vista ... o lo configuras bien o lo haces con PHP y MySQL, pero de cualquier forma vas a tener que aprender a hacerlo bien, si quieres que te funcione la seguridad por contraseñas.

Saludos,

ps:

Si no aprendes a hacerlo correctamente, entonces deberías preguntarte si es peor tener una falsa sensación de seguridad que no tener ninguna.

Hola HackmanC,
muchísimas gracias por tu respuesta muy completa!! Ahora si, lo veo a mi alcance!
Bueno por supuesto una falsa seguridad seria lo peor de lo peor y por eso dedicare el tiempo necesario para hacerlo bien...ya que luego se podré reutilizar fácilmente la misma solución para los próximos sitios web.

Todavía no he probado las modificaciones (pero lo haré hoy mismo).
entoncés:
1-modifico el .htaccess, como indicado

2- suprimo el formulario ya que no es necesario

3-ubico el .htpasswd en: c:/

(aqui una pregunta: una vez subidos todos los archivos al servidor, salvo .htaccess que se queda en mi disco duro, como podra un miembro de la familia conectarse al sitio web con su propio ordenador cuando tendré el mio apagado, si la lista de password se queda en mi ordinador?)

4-"debe ser generado por una herramienta que trae Apache denominada htpasswd, para encriptar las contraseñas.":
aqui voy mal, supongo que apache es un programa. Entoncés debo buscarlo y instalarlo o existe la posibilidad de encriptar a traves de un modulo en la web?

5-.htaccess y .htpasswd han sido creados con el bloc de notas de window, es correcto o necesitaba un programa especifico?

6-"Además necesitas modificar el archivo de configuración de Apache, httpd.conf, para habilitar el uso de la directiva AuthType en archivos .htaccess, escribiendo 'AllowOverride AuthConfig' en el 'Directory' donde vas a colocar el .htaccess":
eso no lo entiendo, si .htaccess está en la carpeta miweb, como escribo en esta carpeta "AllowOverride AuthConfig". ,en un simple fichero .txt?

de nuevo muchas gracias por tu respuesta, y lo siento si soy un poco pesado con las preguntas, es que soy bastante verde en el tema...

un saludo

Hola,

Exactamente, cuando funcione eso de las contraseñas, el mismo navegador te va a mostrar una pequeña ventana pidiendo nombre de usuario y contraseña cuando quieras entrar por primera vez a un recurso protegido, y va a mantener ese contexto de seguridad mientras no exista uno nuevo o cierre el browser.

No te pases de listo (es una expresión nada más), no estamos hablando de tu disco duro, estamos hablando del disco duro del servidor donde está instalado Apache, es decir, el disco duro del servidor o del hosting que te presta el servicio, y por supuesto, en este último caso no tienes acceso al root del server, por lo tanto lo tienes que poner en otra carpeta como /home/celeeron/.htpasswd o algo parecido. Evidentemente en tu disco duro nadie lo va a poder accesar.

Ese viene dentro de los programas que instala Apache (que sí es un programa). Sino puedes usar alguna herramienta web que lo genere, como ésta http://www.e2.u-net.com/htaccess/make.htm .

El problema con el block de notas, es primero que le agrega la extensión .txt al final y segundo que no encripta la contraseña, como en la pregunta anterior. Para hacer ese archivo tienes que usar un editor de texto que genere archivos ANSI en texto plano, como por ejemplo Notepad++, y asegurarte que no le ponga el .txt al final.

Ese es el problema mas grande, primero que todo, el archivo se llama 'httpd.conf' y solamente el dueño del hosting lo puede modificar, tendrías que preguntar en el hosting si la directiva "AllowOverride" está mínimo en "AuthConfig" o está sin nada, que significa que sí puedes usar el .htaccess con .htpasswd; de lo contrario, si está en None no puedes usar el .htaccess ni el .htpasswd.

Saludos,

Hola,

Bueno, de hecho, se me olvidó presentarte las opciones,

La primera opción es la que mencionaba dane, también es sumamente simple y solo necesitas agregar un par de líneas en PHP al principio de cada archivo, la desventaja es que solamente puedes usar unas cuantas contraseñas (porque es muy difícil estar dándole mantenimiento) y en mínimos casos es posible que las contraseñas sean expuestas a todo el mundo, dependiendo de la forma como haces la página web en PHP. (Un par de veces lo he hecho de esta forma por ser sitios sumamente pequeños y me ha funcionado correctamente).

La segunda opción es usar .htaccess y .htpasswd, que son fáciles de implementar y no necesitas hacer formularios, y el mantenimiento a las contraseñas es simple, solamente las agregas al archivo .htpasswd y no tienes que usar ni PHP, ni SQL. La desventaja es que muchos sitios la encuentran poco profesional, puesto que no haces un formulario personalizado con estilo, sino que es el browser que muestra una ventana que simplemente dice: ingrese su nombre de usuario y contraseña. Aunque desde el punto de vista del servidor Apache y el browser proveen una seguridad bastante alta.

La tercera opción y la que usa creo que el 99% de los sitios web es un lenguaje de programación, como PHP y una base de datos SQL. Que te permite hacer un formulario bien estilizado y puedes mantener miles de contraseñas, rápida y eficientemente, además de poder hacer muchas funcionalidades extras y tener mayor control sobre el funcionamiento de la seguridad. La desventaja es que es mucho más difícil de hacer que las opciones anteriores, y tienes que tener mucho mayor cuidado para no exponer las contraseñas fácilmente por el URL o las cookies, y tienes que hacerlo muy bien para que no existan 'agujeros' de seguridad.

En cualquiera de los casos anteriores la contraseña viaja por el cable de red sin encriptar, a menos, que agregues una capa de seguridad adicional basada en SSL, o uses AuthType Digest, pero eso es otra historia.

Si vas a hacer un sitio profesional posiblemente la mejor opción es PHP, .htpasswd y .htaccess es la mejor opción si quieres algo rápido, funcional y seguro; así que depende de lo que quieras lograr y como lo quieras hacer.

Saludos,

Eso del ok.html no tiene nada de seguridad (ya que se podría acceder directamente por ahí)

http://www.cristalab.com/tutoriales/proteger-carpetas-con-.htaccess-y-.htpasswd-c213l/

Hola,



Exactamente eso es lo que se quiere obtener, que no se puede entrar por allí. Y por eso es que estamos dándole tantas vueltas a esto. Así también ... no sé si te tomaste la molestia de leer ese tutorial, yo si lo leí completo antes de poner mi primera respuesta, pero me pareció incompleto, yo también sé como poner vínculos y seguramente celeeron también sabe buscar en la web:

Pero no habla absolutamente nada de esto:

Y sin eso ... todo lo demás es fútil.

Saludos.

Buenas,
gracias a todos por sus respuestas.

Bien, he bastante bien avanzado, modificando lo necesario y encriptado la contraseña...ahora estoy a la espera de la respuesta del hosting por lo del allowoverride.

entre tiempo ya he subido el tod al servidor para hacer una prueba.
el servidor va asi: root/public
he puesto todo en la carpeta public salvo el .htpasswd en root/
en el htaccess he especificado la ruta siguiente: AuthUserFile /.htpasswd

Cuando intento acceder al sitio, me aparece bien una ventana pidiendo me nombre y password , pero cuando lo doy a "acceptar" me aparece el erro siguiente:

Esta página web no está disponible
Error 15 (net::ERR_SOCKET_NOT_CONNECTED): Error desconocido.

y si reintento connectarme al sitio web ya no tengo la ventana de nombre/contraseña sino el mensage e error siguiente:

500 Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, [no address given] and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Hola,



Bueno, una vez aparece la ventana de nombre y password es que el servidor está respondiendo con el 401 correspondiente. Pero después genera una respuesta 500, que significa que el servidor cometió un error realmente grave.

Por mala suerte los errores 500 se pueden deber a cualquier cosa, una mala configuración, archivos de configuración dañados, un script que hace algo realmente grave o cualquier otra motivo que haga que el servidor casi se caiga completamente.

Revisa el archivo de 'log' del servidor Apache para ver si te da mayor información del verdadero error cometido y así lo puedas arreglar, por mi parte no puedo adivinar que fue lo que realmente sucedió pero posiblemente realizaste algún cambio incorrectamente y por eso genera el error.

Sino posiblemente alguien más pueda ser de mayor ayuda,

Saludos.

hola,

pues...a ver lo que me dicen lo del hosting.
acabo de borrar los ficheros htaccess y htpasswd, ha desaparecido la securidad pero el sitio funcciona....

bueno,
gran parte del problema solucionado: la ruta indicada en el .htaccess para el .htpasswd era incompleta por no ser visible en su integralidad.

ahora bien, ya tengo la ventana de loguin, acceso al sitio y ningun mensaje de error...
peeeero....: la seguridad no funciona ya que siempre se tiene acceso al sitio independientemente de lo que se pone en los campos nombre y contraseña...

el proveedor de dominio y alojamiento también recomienda usar htacces/htpasswd como protección, y ahora estoy a la espera de su respuesta por lo del allowoverride, o sino de lo que podría estar ocurriendo.
Os tendré informado al respeto ya que nunca se sabe, podría ser de utilidad a otro en el futuro.

Sino, mi opinion es que la proteccion (cuando funccionara) por htaccess/htpasswd es exactamente lo que buscava: muy pero muy facil a utilisar incluso por la gente como yo sin conocimientos de informatica (solo hay que hacerlo una vez y luego no costa nada repetir) y proporcionando a la vez una buena seguridad.

en mi caso la ventanilla emergente en lugar de un formulario bonito con php no me molesta para nada para el sitio profesional, ya que sera sobre todo herramienta de trabajo entre profesionales conocidos y no de tipo tienda virtual donde el diseño tiene mucho más importancia y el visitante anonimo.

HackmanC, gracias para el seguimiento paso a paso,
mhotel, gracias para el tuto, ya que ahora sé como configurar el htaccess para limitar solo cierto documento o ciertos usuarios.

Un buen fin de semana a todos!

cuidado con la seguridad...

desde el hosting han suprimido la linea <Limit GET POST> del .htaccess y confirmado que ahora funcionara.

He comprobado, con internet explorer va perfecto.....pero con google chrome no, ya que introduciendo nombre o contraseña 3 veces aparece el error 35 (hasta aqui nada dramatico), si se introduce nombre y contraseña se tiene acceso una vez como debe ser, pero a partir de este momento se tiene acceso siempre incluso introduciendo nombre y/o contraseña falsa!!

Supongo que este problema se solucionara, pero da miedo, pq puede pasar con tal o tal otro navegador???

fin de la aventura...y vuelta al inicio!!

A pesar de haber recomendado el .htaccess... para establecer contraseña, los responsables del servidor me dicen ahora que eso ocure pq el tipo de alojamiento que he contratado (el mas basico) no accepta la gestión del .htaccess, y que por lo consiguiente a cualquier momento puede dejar de funcionar....

Asi que 2 conclusiones:
1- es super peligroso pq como solo el administrador del servidor sabe si sí o no el htaccess está soportado, el usuario (como yo) confia plenamente que sí, y que su sitio esta protegido basandose con la prueba con internet explorer....pero el dia que un utilisador lambda se conectara desde un ordenador publico (cybercafé,...) pues todos los siguientes tendran acceso al sitio desde entonces desprotegido...

2- me daba un poco de miedo la solucion del php por ver la más complicada....pero ahora no tengo más remedio...

...y una pregunta super importante: hay tambien este tipo de riesgo (o similar) con el php?

gracias

Hola,

El riesgo es mayor, con .htpasswd solo tenías que preocuparte de que si estaba bien configurado o no, y si estabas pagando por el servicio de seguridad y un par de cosas más. Con PHP te tienes que precupar de muchos factores más, cookies, sesiones, MySQL, etc., pero bueno .... todos tenemos que pasar por lo mismo, así que ánimo y a aprender a hacerlo en PHP.

Saludos,