Hi ihr zwei,

prinzipiell ist HTTP-Authentikation ziemlich sicher - solange keiner das Passwort kennt. Und bei der Standard-Authentikation müsste er zumindest die Fähigkeit haben, den Verkehr auf diesem Server zu belauschen (oder dem User direkt über die Schulter blicken[1]). Bei digest-Authentikation wird das Passwort verschlüsselt, da hilft also auch kein Mitlauschen mehr.

BTW ist die Gesamtsicherheit der Daten u.a. auch abhängig von dem Server. Ein Webserver, der u.U. tausende Webs hostet und vielen davon ggf. sogar freie CGIs erlaubt könnte (muss nicht) ein grosses Sicherheitsloch sein. Ich hatte mal einen Fall, in dem ich per CGI-Programm alle Dateien der anderen User lesen konnte. Kein Problem also, Datenbankpasswörter u.ä. zu erschnüffeln... da hilft der ausgeklügelste Authentikationsmechanismus[2] nichts mehr.

Die Wahl des Sicherheitsmechanismus hängt doch auch immer etwas vom Zweck ab. So ist, denke ich, ein durch .htaccess geschützter Bereich auf einer Vereinshomepage angemessen. Beim Intranet des Pentagon würde ich vielleicht etwas mehr tun ;-)

BTW: ich bin mir ziemlich sicher, vor ein paar Jahren schon mal einen Thread mit exakt dem Titel "Wie sicher ist .htaccess? gelesen zu haben. Hab ihn aber leider auch nicht im Archiv gefunden :-(

viele Grüße
Achim Schrepfer

[1] aber dann ist eh alles zu spät...
[2] schönes Wort *g*