nicht angemeldet
Sicherer Passwortschutz... htaccess und co. versagen
Hallo,
Hab mir grad für eines meiner Webprojekte überlegt, wie ich den internen Bereich schützen kann. Wichtig ist dabei nur, dass es zu 99,9% sicher sein muss!
Ich bin auf mehrere Methoden, die leider alle Probleme haben, gekommen:
1. Passwortfeld und beim Absenden mit Javascript "document.location.href" auf eine Datei verwiesen, die gleich wie das Passwort heisst.
Problem 1: Die Internen Seiten werden evtl. von Suchmaschienen Indexiert (kann aber mit meta-Tags abgeholfen werden)
Problem 2: Verlauf; ist der Verlauf recht lang eingestellt, kann jeder der sich an den Computer setzt und in den Verlauf schaut, sehen wo man war.
2. Javascript dass abfrägt, ob das Passwort "dasPasswort" enthällt, und anschliessend auf die interne seite verweist. Probleme gleich wie bei 1.
3. htaccess:
Zwar recht sicher, aber wenn man im "internen bereich" war, eine stunde irgendwo anders im www unterwegs war, kommt man ohne ein passwort einzugeben wieder ins interne. Erst nach einem wechsel der IP-Adresse (entspr. neu anwählen) muss man wieder das Passwort eingeben.
Kann man für htaccess nicht einbauen, dass wenn man das Fenster schliesst automatisch die IP "gelöscht" wird und man das PW neu eingeben muss???
Oder gibt es noch andere SICHERE Passwortschutzmöglichkeiten???
Danke für Antworten im Voraus!
-
Hi,
Hab mir grad für eines meiner Webprojekte überlegt,
wie ich den internen Bereich schützen kann.
Wichtig ist dabei nur, dass es zu 99,9% sicher sein
muss!definiere "sicher" - und zwar so, daß es eine prozentuale Aussage ermöglicht.
- htaccess:
Zwar recht sicher,
Mit Kennwort-Übertragung im Klartext, nehme ich an?
Welche Kriterien für Sicherheit hast Du denn so?
Welchen AuthType verwendest Du, welche Browser müssen den unterstützen?aber wenn man im "internen bereich" war, eine stunde
irgendwo anders im www unterwegs war, kommt man ohne
ein passwort einzugeben wieder ins interne.Und? Wo ist das Problem? Es ist ja immer noch derselbe Benutzer.
Erst nach einem wechsel der IP-Adresse (entspr. neu
anwählen) muss man wieder das Passwort eingeben.Browser beenden reicht völlig.
Kann man für htaccess nicht einbauen, dass wenn man
das Fenster schliesst automatisch die IP "gelöscht"
wird und man das PW neu eingeben muss???Die von Dir gewünschte Änderung ist eine Interpretation durch den Browser.
Möchtest Du weltweit sämtliche Browser umschreiben?Oder gibt es noch andere SICHERE Passwortschutzmöglichkeiten???
Wie wäre es mit einer exakten Aufgabenstellung?
Viele Grüße
Michael-
hallo Michael,
ich hab da eine frage von wegen klartext übertragung bei basic methode.
Wäre es rein theoretisch möglich den ersten link auf eine geschützte seite namens https://ssl../member/ seite zu leiten
um das passwort abzufragen in der selben pwliste wie die normal seite http://../member/ die danach weiter geleitet würde bei richtiger eingabe?
In dem Fall wär die klartext übertragung verschlüsselt oder?
Gruss vom Alain-
Hi, (bin zwar nicht Michael, aber ich denke, ich kann die Frage genauso beantworten)
ich hab da eine frage von wegen klartext übertragung bei basic methode.
Wäre es rein theoretisch möglich den ersten link auf eine geschützte seite namens https://ssl../member/ seite zu leiten
um das passwort abzufragen in der selben pwliste wie die normal seite http://../member/ die danach weiter geleitet würde bei richtiger eingabe?Nein - das Passwort würde 2x abgefragt werden. (unterschiedliche Protokolle)
In dem Fall wär die klartext übertragung verschlüsselt oder?
Nein, denn bei .htaccess wird _bei jedem Request_ Username/Passwort übertragen.
Grüße,
Christian
-
-
1. AuthType ist Basic (PWs liegen in anderer Datei verschlüsselt vor)
2.
Und? Wo ist das Problem? Es ist ja immer noch derselbe Benutzer.
Nicht unbedingt, manchmal (zum beispiel bei firmenrechnern) sitzen 54 leute an einem rechner.
3.
Browser beenden reicht völlig.
Klar; aber nur INDIREKT; man muss ALLE Fenster schliessen (so jedenfalls IE 5.5) und (beim IE) auch noch den normale Windows Explorer.
4.
Die von Dir gewünschte Änderung ist eine Interpretation durch den Browser.
Möchtest Du weltweit sämtliche Browser umschreiben?Natürlich will ich die Browser nicht umschreiben, ich frage ja desshal ob es möglich ist.
5. Konkretere Aufgabenstellung:
Sicherer Passwortschutz, der
-HTML Dateien nicht aus dem Verlauf heraus öffnen lässt ohne eine PW-abfrage
-nach verlassen der seite (bzw. schliessen des browserfensters (nicht des ganzen browsers) den PW-Schutz wieder aktiviert (Problem bei htaccess)-
zu 2.
nicht 54 (wäre ein bisschen viel) sondern 5-
zu 2.
nicht 54 (wäre ein bisschen viel) sondern 5Aber auch bei 5 sollte sich einer schon abmelden (beim System oder beim Server), bevor er den anderen ranlässt.
Gruß
Axel
-
-
Hi,
- AuthType ist Basic (PWs liegen in anderer Datei verschlüsselt vor)
aha - daß die Passworte also im Klartext über die Leitung gehen, ist für Dich nicht relevant, ja?
Und? Wo ist das Problem? Es ist ja immer noch derselbe Benutzer.
Nicht unbedingt, manchmal (zum beispiel bei firmenrechnern) sitzen 5
leute an einem rechner.Gleichzeitig? (Wie breit ist die Tastatur? ;-)
Oder nacheinander?
Dann muß eben jeder seinen Browser beenden, wenn er nicht will, daß
sein Nachfolger von den entsprechenden Privilegien profitiert.Eigentlich sollte er sogar den Rechner herunterfahren und sein Nachfolger
sollte sich beim Betriebssystem neu anmelden - das kann auch Windows NT,
nicht nur UNIX.
Dein Problem ist kein technisches, sondern ein arbeitsmethodisches.
Es ist schon ein Unding, daß fünf Leute am selben Rechner arbeiten -
aber es ist Irrsinn, dann auch noch zu fordern, daß deren Privilegien
voneinander getrennt werden. Zwinge die Leute dazu, das Betriebssystem
zu beenden - das ist die einzige Möglichkeit, die funktionieren wird.Browser beenden reicht völlig.
Klar; aber nur INDIREKT; man muss ALLE Fenster schliessenJa, bei jedem mir bekannten Browser ist das so.
(so jedenfalls IE 5.5) und (beim IE) auch noch den normale Windows
Explorer.Tja, der ist nun eben leider kein Browser, sondern ein halbes Betriebs-
system. Es gibt aber Browser, die in dieser Hinsicht weniger eigen sind.Natürlich will ich die Browser nicht umschreiben, ich frage ja desshal
ob es möglich ist.Die Antwort lautet "nein, das haben die Hersteller der bekannten Browser
nicht als wünschenswert angesehen".
Aber für eine Intranet-Lösung könntest Du Dir ggf. einen eigenen Browser
schreiben - die Gecko-Engine von Mozilla läßt sich in andere Applikatio-
nen einbinden ... wieviel Budget darfst Du denn so verbraten?Viele Grüße
Michael-
Hallo!
Es ist schon ein Unding, daß fünf Leute am selben Rechner arbeiten -
Ein Unding??? Was ist beispielsweise mit Internet-Cafes oder Web-Terminals (auf der Straße)?
Zwinge die Leute dazu, das Betriebssystem
zu beenden - das ist die einzige Möglichkeit, die funktionieren wird.
Wie soll er bitte die Leute dazu zwingen??? Und warum soll das die einzige Möglichkeit sein? Schon einmal was von Session-Management gehört? Du speicherst beim Login zu den Benutzerdaten (Name, Paßwort, etc.) den Zeitpunkt des letzten Zugriffes und eine generierte Session-ID in der Datenbank ab und prüftst bei jeder Anfrage, ob die mitgelieferte Session-ID (in einem hidden-Feld oder in der URL) gültig ist und ob seit dem letzten Zugriff ein definiertes Zeitlimit (z.B. 15 min) überschritten wurde. Außerdem würde ich eine eigene Logout-Funktion zur Verfügung stellen, damit sich nachfolgende Benutzer auch innerhalb der o.a. Zeitspanne nicht mehr unter Deiner Kennung einloggen können. Ähnliche Methoden finden doch eh bei tausenden Online-Diensten mit Benutzerbereich - wie z.B. Hotmail - Anwendung.
Aber für eine Intranet-Lösung könntest Du Dir ggf. einen eigenen Browser
schreiben - die Gecko-Engine von Mozilla läßt sich in andere Applikatio-
nen einbinden ...Das ist sicher eine schnelle und praktische Lösung. Bauen wir einfach für jede Web-Applikation einen eigenen Browser. Geniale Idee! :-)
Tschau,
Xandi-
Hi,
Ein Unding??? Was ist beispielsweise mit Internet-Cafes oder
Web-Terminals (auf der Straße)?genau dasselbe. Wer dort HTTP Authentication verwendet (und das war das Thema) und dann seinen Browser nicht schließt, handelt fahrlässig.
Wie soll er bitte die Leute dazu zwingen???
Per Arbeitsanweisung. Die Frage enthielt den Terminus "arbeiten" (im
Gegensatz zu "surfen"), und da ist eine dienstliche Anweisung die beste und praktikabelste Methode zur Umsetzung. (Es gibt übrigens auch Abmahnungen und Kündigungen bei Zuwiderhandlung einer solchen Anweisung.)Und warum soll das die einzige Möglichkeit sein?
Weil Server Authentication keine technische Lösung bietet.
Schon einmal was von Session-Management gehört?
Durchaus. Aber das war nicht das Thema meines Postings, welches sich auf Server Authentication (landläufig als ".htaccess" fehlbezeichnet) konzentrierte.
Aber für eine Intranet-Lösung könntest Du Dir ggf. einen eigenen
Browser schreiben - die Gecko-Engine von Mozilla läßt sich in
andere Applikationen einbinden ...
Das ist sicher eine schnelle und praktische Lösung.Es ist zumindest eine praktikable Lösung. Nicht mehr und nicht weniger.
Deine Idee setzt voraus, daß der Fragesteller die Möglichkeit hat, die eingesetzte Software zu ändern (was er bei Server Authentication nicht tun müßte) - meine nicht.
Viele Grüße
Michael-
Servas!
genau dasselbe. Wer dort HTTP Authentication verwendet (und das war das Thema) und dann seinen Browser nicht schließt, handelt fahrlässig.
Könnte doch sein, daß ein Schließen des Browsers in diesen Fällen gar nicht möglich ist oder, daß man es aus den unterschiedlichsten Gründen einfach vergißt. Kann doch jedem einmal passieren, oder?
Wie soll er bitte die Leute dazu zwingen???
Per Arbeitsanweisung. Die Frage enthielt den Terminus "arbeiten" (im
Gegensatz zu "surfen"), und da ist eine dienstliche Anweisung die beste und praktikabelste Methode zur Umsetzung. (Es gibt übrigens auch Abmahnungen und Kündigungen bei Zuwiderhandlung einer solchen Anweisung.)Es war nie die Rede davon, daß es sich um eine firmeninterne Webanwendung handelt. Könnte sich doch sehr wohl auch um eine Website handeln, die für registrierte/zahlende Benutzer einen internen Bereich zur Verfügung stellt. Der Terminus "arbeiten" konnte ich leider nicht entdecken. Das Beispiel mit dem Arbeitsplatz sagt doch nur, daß der Dienst auch von einem Arbeitsplatz aus genutzt werden können soll.
Möchtest Du weltweit sämtliche Browser umschreiben?
Also bist Du offenbar auch von einer *Inter*netanwendung ausgegangen.
Durchaus. Aber das war nicht das Thema meines Postings, welches sich auf Server Authentication (landläufig als ".htaccess" fehlbezeichnet) konzentrierte.
Ja, schon, aber das war nicht Thema der Anfrage, denn Merlin hat von Anfang an "Server Authentication" ausgeschlossen (siehe auch den Betreff). Warum konzentrierst Du Dich dann so darauf?
Zur Erinnerung, dies war die Aufgabenstellung:
"Sicherer Passwortschutz, der
-HTML Dateien nicht aus dem Verlauf heraus öffnen lässt ohne eine PW-abfrage
-nach verlassen der seite (bzw. schliessen des browserfensters (nicht des ganzen browsers) den PW-Schutz wieder aktiviert (Problem bei htaccess)"Es ist zumindest eine praktikable Lösung. Nicht mehr und nicht weniger.
Naja, wenn ich mit z.B. fünf *verschiedenen* (also unterschiedliches Layout, Funktionsumfang, Menüs, ...) Browsern arbeiten muß, empfinde ich das nicht als praktisch. Eventuell mußt Du dann auch noch das Personal auf mehrere Programme einschulen. Abgesehen davon erfordert eine Update des Dienstes u.U. auch eine Aktualisierung der Software, was eigentlich dem Grundgedanken des Inter-/Intranet widerspricht.
Deine Idee setzt voraus, daß der Fragesteller die Möglichkeit hat, die eingesetzte Software zu ändern (was er bei Server Authentication nicht tun müßte) - meine nicht.
Der Satz "Hab mir grad für eines meiner Webprojekte überlegt, wie ich den internen Bereich schützen kann" impliziert doch, daß der Fragesteller die Software herstellt und kein bestehendes System adaptieren möchte.
Viele Grüße,
Xandi
-
-
-
- htaccess: