Michael Schröpl: Passwortschutz aus der Ferne?

Beitrag lesen

SELF-Forum

Passwortschutz aus der Ferne?

Michael Schröpl
Informationen zu den Bewertungsregeln

Hi Rolf,

Die Seite ist nicht aufrufbar, selbst von der URL bekannt ist.
???

s/von/wenn/

Es nützt nichts, wenn Du jemandem über die Schulter schaust oder seine
Bookmarks liest.

Das heißt, man kann als "Verteidiger" auf den "Angriff" gezielt reagieren.
Man kann beispielsweise die IP-Adresse eines "penetranten" Angreifers auf
eine Schwarze Liste setzen und die nächsten <n> Zugriffe automatisch ab-
weisen, selbst wenn er das Passwort erraten hat. Gegen eine solche Ver-
teidigung würde ein einfaches brute force schon nicht mehr durchkommen!
Bringts das? Der Angreifer müßte so intelligent sein neue IP's zu faken.

Er müßte auf die Idee kommen, mit einer solchen Verteidigung zu rechnen!
Wer tut das? Der normalen 404-Meldung kannst Du nicht ansehen, ob mein CGI-
Skript sie zu recht oder zu unrecht schickt.

Auch bei Schwerzuerraten.html kann ich in die Logfiles schauen, und wenn
10000 mal mehr Zugriffe als normal stattfinden kann ichs mir denken!

Ja. Du siehst dann, daß jemand eingebrochen ist. Aber das ist dann zu spät.

Es muß nur der URL erraten werden, u.U. helfen Referrer, Telnet o.ä.
dabei.
Wieso Telnet??? Das Directory sollte schon nicht lesbar sein!

Alles mögliche sollte nicht lesbar sein. Auch Dein access_log nicht, in
welchem der Name der URLs drin steht, die ServerAuthentication aber nicht.

Oder sonstige Protokolle eines auf dem Weg befindlichen Proxy-Servers.
Wobei insbesondere das eigentliche Passwort bei Server Authentication
inzwischen auch verschlüsselt geschickt werden kann.
Hmm, wie kann ich die Passwortverschlüsselung erzwingen? Ich schau lieber
gleich mal in die Feature-Artikel von diesem Schröpl ;)

Nicht, solange kein Netscape-Browser das versteht.
Wenn einer rauskommt, der das kann, werde ich den Artikel wohl anpassen
müssen.

Es kann nicht nachvollzogen werden, ob ein bestimmter Nutzer
aussergewöhnlich oft auf die geschützten Dateien zugegriffen hat.
Gff. schon - durch Analyse des Access-Log (IP-Adresse).

Ja, aber zu spät (siehe oben).

Der Unterschied ist, daß der 403-handler sofort eingreifen kann; wenn
der Server-Admin sein Logfile prüft, ist es vielleicht schon zu spät.
403 ist natürlich schöner als 404, aber haben normale Provider-Kunden
denn Zugriff auf die Handler?

Sie brauchen dafür nur ein AllowOverride in der .htaccess - genau wie für
die ServerAuthentication auch.

Viele Grüße
      Michael

Beitrag melden
Informationen zu den Bewertungsregeln