Updated documentation.

author eldy <>

Fri, 11 Oct 2002 08:12:07 +0000 (08:12 +0000)

committer eldy <>

Fri, 11 Oct 2002 08:12:07 +0000 (08:12 +0000)
author eldy <>
Fri, 11 Oct 2002 08:12:07 +0000 (08:12 +0000)
committer eldy <>
Fri, 11 Oct 2002 08:12:07 +0000 (08:12 +0000)
diff --git a/docs/awstats_security.html b/docs/awstats_security.html

index bef64c9266cc172c80e0185635c61eef421ccc86..d6089715f086f2f5b98dd18756447710d5d34832 100644 (file)
--- a/docs/awstats_security.html
+++ b/docs/awstats_security.html
@@ -101,12 +101,13 @@ This is one of the most popular way of working.<br>
  <font color=blue><b>Advantage</b></font>:<br>\r
  Statistics are dynamic. High level of manageability.<br>\r
  <font color=blue><b>Disadvantage</b></font>:<br>\r
-AWStats database files must still be readable by anonymous web server user, so if an experimented user can have an access to\r
+AWStats database files must still be readable by anonymous web server user, so if an experienced user can have an access to\r
  the server (telnet) where AWStats database files are stored, he can succeed in installing and running a "hacked" version\r
  of AWStats that ignores value of parameter AllowAccessFromWebToAuthenticatedUsersOnly.<br>\r
  <font color=blue><b>How</b></font>:<br>\r
  awstats.pl file must be saved in a web protected <b>realm</b> to force a visitor to enter its username/password\r
  to access AWStats CGI program.<br>\r
+<br>\r
  <u>Example of directives you can add into Apache to have awstats.pl in a web protected realm:</u><br>\r
  <i>\r
  &lt;Files "awstats.pl"&gt;<br>\r
@@ -117,6 +118,11 @@ AuthType Basic<br>
  require valid-user<br>\r
  &lt;/Files&gt;\r
  </i><br>\r
+If you add such directives into a .htaccess file, you must also check that the <i>AllowOverride</i> directive is set\r
+to <i>All</i> in Apache config file to allow the use of .htaccess files.<br>\r
+<br>\r
+To known how to create a protected realm for servers other than Apache, see your web server manual.<br>\r
+<br>\r
  Then edit each config/domain file you want to be protected to set <a href="awstats_config.html#AllowAccessFromWebToAuthenticatedUsersOnly">AllowAccessFromWebToAuthenticatedUsersOnly</a> to 1.<br>\r
  You can also edit list of authorized users in the <a href="awstats_config.html#AllowAccessFromWebToFollowingAuthenticatedUsers">AllowAccessFromWebToFollowingAuthenticatedUsers</a> parameter.<br>\r
  You can also specify a range of allowed browsers IP Addresses with the <a href="awstats_config.html#AllowAccessFromWebToFollowingIPAddresses">AllowAccessFromWebToFollowingIPAddresses</a> parameter.<br>\r
@@ -124,8 +130,9 @@ You can also specify a range of allowed browsers IP Addresses with the <a href="
  Other tip: If you define <b>AWSTATS_CONFIG</b> environment variable in your web server environment (Adding\r
  <i>SetEnv AWSTATS_CONFIG myconfigvalueformydomain</i> with other directives in your Apache VirtualHost config), AWStats\r
  will use the config file called <i>awstats.myconfigvalueformydomain.conf</i> to choose which statistics used,\r
-even if a visitor try to force the config/domain file with the URL '<i>http://mydomain.com/cgi-bin-awstats/awstats.pl?config=xxx</i>'.\r
-This can be usefull for thoose who edit their config/domain file with <a href="awstats_config.html#AllowAccessFromWebToFollowingAuthenticatedUsers">AllowAccessFromWebToFollowingAuthenticatedUsers</a>="__REMOTE_USER__"</i>.<br>\r
+even if a visitor try to force the config/domain file with the URL '<i>http://mydomain/cgi-bin/awstats.pl?config=otherdomain</i>'.\r
+This might be usefull for thoose who edit their config/domain file with <a href="awstats_config.html#AllowAccessFromWebToFollowingAuthenticatedUsers">AllowAccessFromWebToFollowingAuthenticatedUsers</a>="__REMOTE_USER__"</i>\r
+to avoid managing account lists in AWStats config files.<br>\r
  <br><br>\r
  \r
  <br><a name="3"><H2 style="font: 22px arial,helvetica,sanserif color: #606060"><u>3) NO SECURITY POLICY</u></H2></a><br>\r
@@ -138,12 +145,13 @@ Setup is very easy (No need of particular setup). Statistics are dynamic.<br>
  No way to prevent stats for config/domain to be seen by a user that known the\r
  config/domain name and the url syntax to see stats of a particular config/domain.<br>\r
  <font color=blue><b>How</b></font>:<br>\r
-No particular things to do (You can however use <a href="awstats_config.html#AllowAccessFromWebToFollowingIPAddresses">AllowAccessFromWebToFollowingIPAddresses</a> parameter).<br>\r
+No particular things to do (You can however easily use <a href="awstats_config.html#AllowAccessFromWebToFollowingIPAddresses">AllowAccessFromWebToFollowingIPAddresses</a> parameter\r
+to have a minimum of security).<br>\r
  <br>\r
  <br>\r
  <br>\r
  \r
-There is a lot of possible use for AWStats combining all its options/parameter with all web servers options/parameters.\r
+There is a lot of possible use for AWStats combining all its options/parameters with all web servers options/parameters.\r
  Just use the one you need...<br>\r
  <br>\r
  \r
author	eldy <>
	Fri, 11 Oct 2002 08:12:07 +0000 (08:12 +0000)
committer	eldy <>
	Fri, 11 Oct 2002 08:12:07 +0000 (08:12 +0000)