Michael Schröpl: "Sicherheit" im Forum / Login-Vorgang

Beitrag lesen

Hi Lude,

Was passiert genau beim Einloggen?

schau es Dir doch einfach an:
http://www.schroepl.net/cgi-bin/http_trace.pl?url=http%3A%2F%2Fforum.de.selfhtml.org%2Fmy%2F&method=GET&version=HTTP%2F1.0

Der Server verwendet also 'WWW-Authenticate: Basic realm="SELFHTML Forum"'.

Werden die Formulardaten sicher übertragen?

Deine credentials werden BASE64-codiert übertragen, also praktisch "im Klartext".

Dürfte das Forum es sich leisten, Registrierungen von Anwendern mit Netscape 4 und Netscape 6 zu ignorieren, dann wäre Digest Authentication die m. E. technisch bessere Lösung.

Eine zuverlässige serverseitige Unterscheidung zwischen Netscape 6 und 7 zu bauen, halte ich (angesichts der potentiellen Konfigurierbarkeit beider Browser plus allfälliger sonstiger Modifikation des HTTP-Headers "UserAgent:") für nur bedingt machbar und daher für kaum vertretbar.

(Hätte da laienhafterweise was mit https erwartet.)

Das wäre m. E. eine denkbare Verbesserung - wobei allerdings die Frage wäre, ob der erforderliche Aufwand (SSL installieren, Zertifikat bauen bzw. sogar kaufen etc.) gerechtfertigt wäre.

Viele Grüße
      Michael