Hallo Aqua,
Frage 1) Ist ein HTACCESS-Passwortschutz exakt gleich sicher
bzw. sicherer als ein normaler Script-Interner gut
gemachter Passwortschutz mit Sessions,
oder gibt es irgendeine _Sicherheits-Gefahr_
bei einem HTACCESS-Passwortschutz ??
Sicherheit kommt nicht unbedingt immer nur auf die Methode an, sondern auch auf das gewählte Passwort.
Die Personen können denke ich bei dir das Passwort frei wählen, und bei .htaccess-Dateien werden oftmals Bruteforce-Attacken durchgeführt - dadurch wird solch ein Schutz gerne geknackt (das heißt nicht dass dies bei Formularen und Sessions anders wäre).
Frage 2) Wenn man sich auf einem Webseite wo einloggen muss
(bei einer <form> action) merken sich manche Browser
wie Mozilla und Opera und andere die Login-Daten,
und tragen sie teilweise beim nächsten Login von
selbst ein.Wie ist das bei einer HTACCESS-Passwort-Eingabeaufforderung?
Merkt sich der Browser die Logindaten automatisch?Weil: Dann wäre das eine sehr grosse Gefahr
in Internet-Cafe's - Die Kunden würden
sich dort einloggen und dann könnte dort
der / die nächsten User sich auch einloggen
im Internet-Cafe (wäre schrecklich!)Wie ist das?
Normalerweise sollte in einem Internet-Cafe alles so eingestellt sein, dass keine Passwörter (weder in Formularen noch in .htaccess-Form) gespeichert werden können, in der Realität ist das aber oft anders.
Bei Sessions mittels PHP hast du den Flexibilitätsvorteil, d.h. dass du nach 3 falschen Versuchen den Account z.B. für 15 Minuten deaktivieren kannst.
.htaccess ist die oftmals benutzte und einfachste Form.
Welche Methode du auch wählst - du musst deinen Kunden zeigen dass sie sichere Passwörter wählen müssen (min. 6 oder 8 Zeichen, keine Wörter, Zahlen, Buchstaben und am Besten noch Sonderzeichen).
Ein solches Passwort ist, wenn es zudem noch verschlüsselt abgespeichert wird, schwer knackbar.
Bis dann!
Marc Reichelt || http://www.marcreichelt.de/
Linux is like a wigwam - no windows, no gates and an Apache inside!
SELFCode: ie:{ fl:| br:> va:} ls:< fo:} rl:( n4:( ss:) de:> js:| ch:? sh:| mo:) zu:)
http://emmanuel.dammerer.at/selfcode.html