nicht angemeldet
Wie sicher ist .htaccess?
Ich will einen Bereich meiner Website, der persönliche Daten von Vereinsmitgliedern sowie andere vertrauliche Infos enthält, mit der .htaccess-Funktion absichern.
Wie sicher ist .htaccess? Ich habe das Forum inkl. Archiv durchsucht, aber dazu leider keine entsprechende Information gefunden (oder sie dann übersehen). Das Password-File befindet sich im nicht über das www zugänglichen Bereich des Servers, die Qualität der Passwörter ist sichergestellt, da ich die selbst festlege.
Gibt's zur Sicherheit dieser .htaccess-Funktion konkrete Angaben?
-
Hi.
Ich hatte auch das Problem, einen sehr heiklen Bereich des Servers zu schützen. Ich habe mich aber nicht nur für htaccess entschieden, sondern auch noch zusätzlich einen Userbereich eingerichtet für eben jenen Bereich (mit PHP), in den sich der User (mit anderen) Passwörtern zusätzlich nochmal einloggen muss. Wenn jemand direkt den Link eingibt zu einer so geschützten Seite (wenn er schon im htaccess-geschützten Verzeichnis ist) kommt er eben nicht zu dem Link sondern wird abgeschmettert.
Ich denke dass selbst das noch nicht das Sicherheits-NonPlusUltra ist aber was anderes ist mir eben auch nicht eingefallen, und ich hatte viel darüber im Internet gesucht...Hoffe ich konnte ein bisschen helfen.
Hurgl.
-
Hi ihr zwei,
prinzipiell ist HTTP-Authentikation ziemlich sicher - solange keiner das Passwort kennt. Und bei der Standard-Authentikation müsste er zumindest die Fähigkeit haben, den Verkehr auf diesem Server zu belauschen (oder dem User direkt über die Schulter blicken[1]). Bei digest-Authentikation wird das Passwort verschlüsselt, da hilft also auch kein Mitlauschen mehr.
BTW ist die Gesamtsicherheit der Daten u.a. auch abhängig von dem Server. Ein Webserver, der u.U. tausende Webs hostet und vielen davon ggf. sogar freie CGIs erlaubt könnte (muss nicht) ein grosses Sicherheitsloch sein. Ich hatte mal einen Fall, in dem ich per CGI-Programm alle Dateien der anderen User lesen konnte. Kein Problem also, Datenbankpasswörter u.ä. zu erschnüffeln... da hilft der ausgeklügelste Authentikationsmechanismus[2] nichts mehr.
Die Wahl des Sicherheitsmechanismus hängt doch auch immer etwas vom Zweck ab. So ist, denke ich, ein durch .htaccess geschützter Bereich auf einer Vereinshomepage angemessen. Beim Intranet des Pentagon würde ich vielleicht etwas mehr tun ;-)
BTW: ich bin mir ziemlich sicher, vor ein paar Jahren schon mal einen Thread mit exakt dem Titel "Wie sicher ist .htaccess? gelesen zu haben. Hab ihn aber leider auch nicht im Archiv gefunden :-(
viele Grüße
Achim Schrepfer[1] aber dann ist eh alles zu spät...
[2] schönes Wort *g*-
Hallo,
BTW: ich bin mir ziemlich sicher, vor ein paar Jahren schon mal einen Thread mit exakt dem Titel "Wie sicher ist .htaccess? gelesen zu haben. Hab ihn aber leider auch nicht im Archiv gefunden :-(
Zwar ein etwas anderer Titel und auch nicht ein paar Jahre, sondern nur ein paar Tage alt, aber das Thema ist dasselbe:
http://forum.de.selfhtml.org/archiv/2002/12/31844/Und hier finden sich noch ein paar weitere Gedanken von Michael Schröpl:
http://forum.de.selfhtml.org/archiv/2002/9/24290/Viele Grüße
Carsten -
Bei
digest-Authentikation wird das Passwort verschlüsselt, da hilft also auch kein Mitlauschen
mehr.Achim Schrepfer
Geht auch nur wenn der server sowas unterstützt?!
ich wollte das auch bei puretec.de (powerpaket) einbinden aber ging leider nicht.
Gruss vom Alain-
Hi,
Geht auch nur wenn der server sowas unterstützt?!
klar, hab ich vergessen, danke. Hauptgrund es derzeit nicht zu verwenden, sind die Clients. Die meisten Browser können nur Basic-Authentikation.
viele Grüße
Achim Schrepfer-
Hi Achim,
klar, hab ich vergessen, danke. Hauptgrund es derzeit nicht zu verwenden, sind die Clients. Die meisten Browser können nur Basic-Authentikation.
alle zeitgemäßen Browser _können_ Digest: Opera ab 4.0, M$IE ab 5.0, Netscape ab 7.0, Mozilla ab 0.9.x (7, glaube ich mich zu erinnern), Amaya auch schon eine ganze Weile.
Es scheitern also Netscape 4 und 6.
Viele Grüße
Michael--
T'Pol: I meant no insult.
V'Lar: Of course not. You're simply speaking your mind ... as you always have.-
Hallo Michael,
alle zeitgemäßen Browser _können_ Digest: Opera ab 4.0, M$IE ab 5.0, Netscape ab 7.0, Mozilla ab 0.9.x (7, glaube ich mich zu erinnern), Amaya auch schon eine ganze Weile.
oh, danke für die Info. Da war ich wohl nicht mehr ganz auf dem aktuellen Stand ;-)
Es scheitern also Netscape 4 und 6.
was einen auch nicht abhalten sollte, Digest zu verwenden. Es sollte halt eine Fallbacklösung geschaffen werden. Und bei Vereinsmitgliedern ist`s noch einfacher: denen wird einfach der Mozilla aufs Auge gedrückt *g*.
viele Grüße
Achim Schrepfer
-
-
-
-
-
-
Herzlichen Dank an alle, die mir weitergeholfen haben :-)))
Ich habe aus Euren Beiträgen (und den weiteren angegebenen Links) entnehmen können, dass die Server Authentication mittels .htaccess für meine Bedürfnisse sicher genug ist.
Mit den Unzulänglichkeiten der Basic-Methode (die ich der Einfachheit wohl einsetzen werde) wie z.B. unverschlüsselte Übertragung des Passwortes kann ich leben, da ja bei mir die ftp-Übertragung auch nicht verschlüsselt ist und ich auf die Sicherheit des Servers ohnehin keinen Einfluss habe. Sicherheit ist eben immer relativ!
Übrigens, ich bin immer wieder erstaunt, wie schnell und kompetent man hier im Forum Auskunft bekommt, obwohl ich nur gelegentlich hier poste (kann leider wissensmässig auf diesem Niveau kaum etwas beitragen, sondern nur von Euch profitieren!). Deshalb nochmals ganz herzlichen Dank!