Hi Andreas,
Aber was mich erstaunt hat, htaccess Benutzerdaten
waren verschlüsselt! War Basic! Aber das war kein
Klartext, was da stand!!!
das ist BASE64-Codierung.
Die wird vermutlich nur deshalb verwendet, damit man auch exotische Sonderzeichen über alte, dumme Kommunikationsverbindungen transportieren kann, die nur 7 Bit verstehen oder was auch immer.
Jedenfalls ist eine solche Codierung reversibel, anders als MD5 - und deshalb in Sachen Sicherheit irrelevant.
Ja, aber belauschen, dann mußt Du aber auf einem
Rechner zwischendurch ein programm installieren
können, und das stelle ich mir nicht so einfach
vor! ich denke die Rechner +über die richtige
Internetverbindungen laufen, sollten doch
einigermaßen schwierig zu knacken sein, oder?
Entscheidend ist das schwächste Glied in der Kette.
Wie kann man sinnvoll verhindern, das sich jemand
mit einem Script per Bruteforce probiert
einzuloggen?
Indem man zunächst einmal Angriffe auf eine Benutzerkennung dadurch erkennt, daß mit derselben Benutzerkennung in kurzer Zeit untypisch viele Login-Versuche erfolgen. Dazu muß man alle login-Versuche
protokollieren und Plausibilitätstests realisieren.
Hat man einen Angriff erkannt, dann kann man reagieren - beispielsweise indem man die Benutzerkennung bis auf Widerruf komplett abschaltet. Das verhindert zumindest, daß ein Angreifer durch kommt - es stört natürlich möglicherweise einen Besitzer dieser Benutzerkennung beim Arbeiten. Da muß man dann halt entscheiden, was einem wichtiger ist - mir wäre es wichtiger, mein Bankkonto gegen einen Angriff geschützt zu haben, auch wenn ich während eines Angriffs ausnahmsweise mal eine Buchung per Telefon statt per Browser aufgeben muß ...
Jede Versicherung erfordert eine exakte Beschreibung
des "Schadensfalls".
Viele Grüße
Michael