Sven Rautenberg: wie sicher ist das jetzt nun ?

Beitrag lesen

SELF-Forum

wie sicher ist das jetzt nun ?

Sven Rautenberg Homepage des Autors
Informationen zu den Bewertungsregeln

Moin!

ich hab jetzt rausgefunden, daß mein Provider doch .htaccess unterstützt.

Du solltest Dir aber dabei bewußt sein, daß es nicht viel sicherer ist, den AuthType basic zu verwenden. Bei dieser wird nämlich der Benutzername und das Passwort lediglich base64 encoded über das Netz gejagt, und kann daher von jedem, der 'mitlauscht' einfach ermittelt werden. Erst AuthType Digest bietet bessere, sprich sicherere, Benutzerauthorisierungen, da dabei das Passwort nicht im 'Klartext' übertragen wird.

Wenn wir schon von Sicherheit reden: Wieviel Sinn macht es, ein Paßwort zu verschlüsseln, und dann aber die Daten wieder im Klartext zu übertragen, so daß jeder mitlesen kann.

"AuthType Basic" ist zwar simpel, aber eigentlich genau auf dem Level, den die Daten, die man durch die Authentifizierung erhält, auch haben: Unverschlüsselt.

"AuthType Digest" verschlüsselt das Paßwort. Sogar recht aufwändig mit Challenge-Response (ansonsten wäre das Verschlüsseln wertlos). Aber wer es drauf anlegt und ein Basic-Paßwort mitlesen kann, wird hier jetzt einfach das mitlesen, was der angemeldete User auch lesen kann. Und eventuell kann man mit den ausgetauschten Daten ja auch noch die eine oder andere Seite zusätzlich rauslocken, indem man den Datenverkehr umbiegt.

Wie schon die RFC 2617 sagt:
"Many needs for secure HTTP transactions cannot be met by Digest Authentication. For those needs TLS or SHTTP are more appropriate protocols. In particular Digest authentication cannot be used for any transaction requiring confidentiality protection.  Nevertheless many functions remain for which Digest authentication is both useful and appropriate.  Any service in present use that uses Basic should be switched to Digest as soon as practical."

Also lieber HTTPS benutzen, wenns wirklich drauf ankommt. Digest schützt wirklich nur das Paßwort - toll für Leute, die ein- und dasselbe Paßwort überall benutzen, ansonsten aber ist wirkliche Sicherheit für vertrauliche Informationen durch Digest-Authentifikation nicht wirklich gegeben.

Und es beherrschen nicht alle Browser diesen Mechanismus. Netscape 4 kann's nicht, bei Mozilla mußte man auch eine zeitlang drauf warten (AFAIK), Opera kanns ab Version 4 (also schon laaange), und der IE ab Version 5. Wer noch hinreichend viele Besucher mit älteren Browsern zählt, kann nicht umstellen.

- Sven Rautenberg

Beitrag melden
Informationen zu den Bewertungsregeln
0 22

wie sicher ist das jetzt nun ?

xNeTworKx
  • perl
  1. 0
    Frank Schönmann
    1. 0
      xNeTworKx
      1. 0
        Matti Maekitalo
        1. 0
          xNeTworKx
          1. 0
            xNeTworKx
            1. 0
              Matti Maekitalo
              1. 0
                xNeTworKx
                1. 0
                  Matti Maekitalo
                  1. 0
                    xNeTworKx
                    1. 0
                      Henryk Plötz
                      1. 0
                        xNeTworKx
                        1. 0
                          Michael Schröpl
                    2. 0
                      Frank Schönmann
                      1. 0
                        xNeTworKx
                        1. 0

                          endlich !!!!!, aber noch eine kurze Frage

                          xNeTworKx
                          1. 0
                            Sven Rautenberg
                            1. 0
                              xNeTworKx
                          2. 0
                            Michael Schröpl
          2. 0
            Klaus Mock
            1. 0
              Sven Rautenberg
              1. 0
                Michael Schröpl