nicht angemeldet
.htaccess
Hallo Forumsleser!
Hier nun wieder mal eine Anfrage von mir (linkänderung), nachdem meine letzte leider ungelöst blieb :-( (<t02164.htm#a9993>, zumindest was eine "einfache" Lösung betrifft, sonst hat mir Stefan Münz sehr wohl geholfen ;-)
Wer kennt sich denn mit .htaccess aus und kann mir sagen, wie sicher bzw. unsicher dieser Schutz wirklich ist?
Ich kenne mich leider auf Serverebene kaum aus, und dort findet dieser "Zugriffsschutz" ja wohl statt?
Den Artikel unter http://www.teamone.de/selfaktuell/ , welcher sehr gut ist, kenne ich schon, aber die endgültige "Sicherheitserklärung" geht davon ja leider nicht heraus.
Das JavaScript keine Lösung ist, habe ich auch schon überprüft ;-)
Danke Stefan
PS: Ein hinreichender Passwort-Schutz und alphanumerisches Passwort mit mehr als 10 Stellen setze ich voraus, sonst hilft ja schon durchprobieren einer Liste ;-)
-
Hallo Forumsleser!
Hier nun wieder mal eine Anfrage von mir (linkänderung), nachdem meine letzte leider ungelöst blieb :-( (<t02164.htm#a9993>, zumindest was eine "einfache" Lösung betrifft, sonst hat mir Stefan Münz sehr wohl geholfen ;-)Wer kennt sich denn mit .htaccess aus und kann mir sagen, wie sicher bzw. unsicher dieser Schutz wirklich ist?
Ich kenne mich leider auf Serverebene kaum aus, und dort findet dieser "Zugriffsschutz" ja wohl statt?
Den Artikel unter http://www.teamone.de/selfaktuell/ , welcher sehr gut ist, kenne ich schon, aber die endgültige "Sicherheitserklärung" geht davon ja leider nicht heraus.
Das JavaScript keine Lösung ist, habe ich auch schon überprüft ;-)Also die htaccess ist schon sehr sicher. JavaScript ist nicht so gut. Ein Schutz mit CGI sollte auch sehr sicher sein.
-
hi erik
Also die htaccess ist schon sehr sicher. JavaScript ist nicht so gut. Ein Schutz mit CGI sollte auch sehr sicher sein.
gibt es eigentlich Beschränkungen für die Anzahl der Nutzer bei .htaccess (mit verschiedenen Passwörtern/Benutzernamen ;-)
cu
stefan-
Hi Stefan
gibt es eigentlich Beschränkungen für die Anzahl der Nutzer bei .htaccess (mit verschiedenen Passwörtern/Benutzernamen ;-)
Nein, die Anzahl der Benutzer spielt (bei Apache) keine Rolle. Nur wenn das .htpasswd-File grösser als die HD-Kapazität werden soll... ;-)
Gruss, Beat
-
hi erik
Also die htaccess ist schon sehr sicher. JavaScript ist nicht so gut. Ein Schutz mit CGI sollte auch sehr sicher sein.
gibt es eigentlich Beschränkungen für die Anzahl der Nutzer bei .htaccess (mit verschiedenen Passwörtern/Benutzernamen ;-)
Naja, der Homepageanbieter stellt dir sicher ne Maximalgröße zur Verfügung.... Da muß du aufpassen. Bei meinem Anbieter werden die Überschreitungen automatisch in Rechnung gestellt... :-)))
Eigendlich ist die Größe egal, aber der Server muß das Ding ja jedesmal laden, wenn ein Zugriff kommt, oder hat das Ding permanent im Speicher. Deshalb sollte das schon ne vernünftige Größe sein.
-
-
-
hi!
PS: Ein hinreichender Passwort-Schutz und alphanumerisches Passwort mit mehr als 10
Stellen setze ich voraus, sonst hilft ja schon durchprobieren einer Liste ;-)Meines Wissens unterstützt .htaccess höchstens acht Stellen beim Passwort. Das sollte aber kein Problem sein. Bei acht Stellen gäbe es ca. 2,8 Billionen Möglichkeiten für ein Passwort. Dazu kommt, dass ja der Benutzername unbekannt ist. Gehen wir davon aus, dass dieser ebenfalls aus 8 Zeichen besteht, gäbe es 2,8 Billionen mal 2,8 Billionen Möglichkeiten. Das sind fast 8 * 10^24 Möglichkeiten. Diese Annahmen gelten alle nur, wenn Passwort und Benutzername genau acht Zeichen lang sind. Bestehen Passwort oder Benutzername oder beide aus einer anderen Anzahl von Zeichen, gibt es zusätzliche Möglichkeiten.
Sicher genug?
bye, Frank!
-
hi frank!
Meines Wissens unterstützt .htaccess höchstens acht Stellen beim Passwort
danke, aber was passiert bei eingabe eines zehnstelligen pw (habe ich glaube schon mal verwendet). fallen dann die letzten beiden einfach weg?
stefan
-
hi frank!
Meines Wissens unterstützt .htaccess höchstens acht Stellen beim Passwort
danke, aber was passiert bei eingabe eines zehnstelligen pw (habe ich glaube schon mal verwendet). fallen dann die letzten beiden einfach weg?
stefan
Hi!
Was ich so weis schon.
Mfg Thomas
-
-
Meines Wissens unterstützt .htaccess höchstens acht Stellen beim Passwort.
Stimmt aber nicht, es gehen auch mehr (10 sind problemlos). Das pw wird auf Unix-Serverplattformen in einem immer 11 charakteristischen Stellen langen codierten String gespeichert, egal ob das pw im Klartext aus 0 oder aus 10 zeichen besteht.
Ich habe gerade eine Webapplikation programmiert, die .htaccess-Schutz als Benutzer-Management automatisiert verwendet - wen's interessiert: http://www.anet.at/authentifizierung.
lg,
rob.-
hi!
Meines Wissens unterstützt .htaccess höchstens acht Stellen beim Passwort.
Stimmt aber nicht, es gehen auch mehr (10 sind problemlos). Das pw wird auf
Unix-Serverplattformen in einem immer 11 charakteristischen Stellen langen codierten String
gespeichert, egal ob das pw im Klartext aus 0 oder aus 10 zeichen besteht.Ich wusste es leider nicht genau, hatte aber irgendwo mal gehört, dass es nur mit bis zu acht Stellen funktioniert.
Ich habe gerade eine Webapplikation programmiert, die .htaccess-Schutz als
Benutzer-Management automatisiert verwendet - wen's interessiert:
http://www.anet.at/authentifizierung.Ich habe selbst sowas in der Art. So ein großes Problem ist das jetzt auch nicht ;-))
bye, Frank!
-
-
-
Hallo Stefan
Den Artikel unter http://www.teamone.de/selfaktuell/ , welcher sehr gut ist, kenne ich schon, aber die endgültige "Sicherheitserklärung" geht davon ja leider nicht heraus.
htaccess arbeitet, wie der Name schon andeutet, auf HTTP-Ebene und betrifft Verzeichnisse. Das heisst, ein Browser erhaelt vom Webserver erst dann Dateien aus einem mit htaccess geschuetzten Verzeichnis, wenn er die Daten fuer Kennwort und Passwort liefern kann, die er denn auch vom aufrufenden Anwender wissen will.
Mit JavaScript und allem, was sonst noch direkt ueber HTTP uebertragen wird, laesst sich so ein Schutz nicht umgehen.
Anders ist es, sobald ein anderes Protokoll als HTTP benutzt wird. Das merkst Du schon daran, dass Du mit FTP ohne Probleme in Deine eigenen, passwortgeschuetzten Verzeichnisse reinkommst. Genauso ist es mit Telnet usw. Nun sind FTP- und Telnet-Zugaenge normalerweise ebenfalls passwortgeschuetzt. Es sind eben die Kenndaten, die Du von Deinem Provider bekommst, um auf Deinen Webspace zugreifen zu koennen.
Sobald es bei einem dieser High-Level-Protokolle eine Sicherheitsluecke gibt oder der Server noch andere High-Level-Protokolle unterstuetzt, die Hacker benutzen koennten (IRC, oder irgendwas Selbstgebasteltes fuer spezielle Zwecke), dann ist eben ein Zugriff auf Daten auf solchen Wegen denkbar, und da hilft htaccess dann wenig. Aber wie gesagt, solange nur der WWW-Browser auf solche Daten zugreifen will und als URL eine http-Adresse dazu benutzt, wird htaccess sicher sein, und besser als alle anderen Loesungen mit JavaScript oder Java oder eigenen Perl-Scripts (da er als einziger auch die neuerliche Ausweisung von Leuten verlangt, die die "geheimen" URLs bereits kennen und versuchen, diese direkt aufzurufen).viele Gruesse
Stefan Muenz-
Hallo Stefan
die die "geheimen" URLs bereits kennen und versuchen, diese direkt aufzurufen).
Danke, soweit ist erstmal fast alles klar, allerdings noch eine kurze Frage:
Gibt es eine Möglichkeit, in verschiedenene Verzeichnissen (z.Bsp http://www.test.de/test1/ und http://www.test.de/test2/) unterschiedliche Benutzergruppen zuzulassen, oder scheitert das an dem .htpasswd im Rootverzeichnis (muß dieses File dort liegen, oder kann man es auch in ein beliebiges Verzeichnis unterhalb von .htaccess "verfrachten"=>damit wäre verschiedene Benutzergruppen auf einem Server ja dann kein Problem)Vielleicht weiß hier auch noch jemand die Antwort, danke auch an alle anderen, war wirklich eine sehr gute Hilfe von a-z
cu all
stefan-
Hi Stefan
Gibt es eine Möglichkeit, in verschiedenene Verzeichnissen (z.Bsp http://www.test.de/test1/ und http://www.test.de/test2/) unterschiedliche Benutzergruppen zuzulassen, oder scheitert das an dem .htpasswd im Rootverzeichnis (muß dieses File dort liegen, oder kann man es auch in ein beliebiges Verzeichnis unterhalb von .htaccess "verfrachten"=>damit wäre verschiedene Benutzergruppen auf einem Server ja dann kein Problem)
Ja, das geht. Das .htpasswd kann irgendwo liegen, Du musst im .htaccess einfach den richtigen Pfad eingeben, damit der Webserver das gewünschte .htpasswd-File findet.
Gruss, Beat
-
-