Hi,

Gibt es denn ueberhaupt irgendeine wirklich sichere password-methode?

absolute Sicherheit kann man niemals gewährleisten; man kan sich ihr nur nähern.

Selbst ein CGI, das in irgendeinem cgi-bin steht, kann doch angeschaut werden; wohin der Pfad fuer die password -Datei auch immer gelegt ist.

Wie?
Ich habe in meinem cgi-bin (http://cheatah.net) eine Datei namens ultimage.pl. Wenn Du mir den Quelltext schicken kannst, glaube ich Dir, ansonsten halte ich CGIs für sicher genug.

Das Problem sind hier die Rechte fuer Verzeichnisse auf den Servern.
Aber auch CGI-scripte geben lediglich eine Datei frei oder oeffnen den Weg dorthin.

Das kann man übergehen, indem man seine geschützen Seiten durch ein CGI-Script darstellen läßt (Code im Script, die Passwortabfrage kann per require und mit ein paar Codezeilen realisiert werden). Das Script prüft, ob per POST das richtige Passwort übergeben wurde und gibt dann entweder die Seite oder ein Passwort-Eingabeformular aus. Im Grunde schütze ich so die meisten meiner Scripts; das spart Dateien.

So richtig griffig ist das alles nicht, obwohl es sicherlich ein um Groessenordnung sichererer Weg als das Ganze in einen Seitenquelltaxt einzubauen ist.

Das auf jeden Fall! Aber wenn man schon mit CGIs arbeitet, gibt es eigentlich keinen Grund, nicht die .htaccess zu nutzen.

Cheatah