Hi Lemmy,

vorsicht: .htaccess und .htpasswd sollten nicht im selben
verzeichnis liegen! aus sicherheitsgründen

Die da wären? Wenn die Passwörter natürlich
unchiffriert sind - okay. Aber ansonsten?
Klär mich doch bitte mal auf...

crypt() hat einen Schlüsselraum von gerade mal 8
Byte - wenn jemand eine solche Passwort-Datei
(wobei ja in jedem Passwort das 'salt' drin steht)
lesen kann, dann ist die in ein paar Tagen durch-
gerechnet, je nach Leistungssfähigkeit der ver-
fügbaren Hardware. So etwas geht offline um
Größenordnungen schneller als durch HTTP-Zugriffe
(welche dem Betreiber zudem auffallen würden).

Das Probierprogramm könnte insbesondere mit der
Dummheit der Anwender rechnen und erst mal nur
einen kleinen Teil des Schlüsselraums anwenden -
beispielsweise eine Liste weiblicher Vornamen. ;-)
(http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/)

Allerdings kann man den Zugriff auf bestimmte
Dateien, insbesondere die hier betrachteten, noch
gesondert schützen, unabhängig von deren Inhalt:
Die Apache-Standardkonfiguration enthält ein
automatisches "deny" auf alles, was nach ".ht*"
aussieht - und das hat gute Gründe, wie der vor-
liegende Thread zeigt ...

Viele Grüße
      Michael