Marc Reichelt: HTACCESS oder Sessions? (Sicherheits-Frage)

Beitrag lesen

Hallo Aqua,

Frage 1)   Ist ein HTACCESS-Passwortschutz exakt gleich sicher
           bzw. sicherer als ein normaler Script-Interner gut
           gemachter Passwortschutz mit Sessions,
           oder gibt es irgendeine _Sicherheits-Gefahr_
           bei einem HTACCESS-Passwortschutz ??

Sicherheit kommt nicht unbedingt immer nur auf die Methode an, sondern auch auf das gewählte Passwort.
Die Personen können denke ich bei dir das Passwort frei wählen, und bei .htaccess-Dateien werden oftmals Bruteforce-Attacken durchgeführt - dadurch wird solch ein Schutz gerne geknackt (das heißt nicht dass dies bei Formularen und Sessions anders wäre).

Frage 2)   Wenn man sich auf einem Webseite wo einloggen muss
           (bei einer <form> action) merken sich manche Browser
           wie Mozilla und Opera und andere  die Login-Daten,
           und tragen sie teilweise beim nächsten Login von
           selbst ein.

Wie ist das bei einer HTACCESS-Passwort-Eingabeaufforderung?
           Merkt sich der Browser die Logindaten automatisch?

Weil:  Dann wäre das eine sehr grosse Gefahr
                  in Internet-Cafe's  -  Die Kunden würden
                  sich dort einloggen und dann könnte dort
                  der / die nächsten User sich auch einloggen
                  im Internet-Cafe (wäre schrecklich!)

Wie ist das?

Normalerweise sollte in einem Internet-Cafe alles so eingestellt sein, dass keine Passwörter (weder in Formularen noch in .htaccess-Form) gespeichert werden können, in der Realität ist das aber oft anders.

Bei Sessions mittels PHP hast du den Flexibilitätsvorteil, d.h. dass du nach 3 falschen Versuchen den Account z.B. für 15 Minuten deaktivieren kannst.

.htaccess ist die oftmals benutzte und einfachste Form.

Welche Methode du auch wählst - du musst deinen Kunden zeigen dass sie sichere Passwörter wählen müssen (min. 6 oder 8 Zeichen, keine Wörter, Zahlen, Buchstaben und am Besten noch Sonderzeichen).
Ein solches Passwort ist, wenn es zudem noch verschlüsselt abgespeichert wird, schwer knackbar.

Bis dann!

Marc Reichelt || http://www.marcreichelt.de/

--
Linux is like a wigwam - no windows, no gates and an Apache inside!
SELFCode: ie:{ fl:| br:> va:} ls:< fo:} rl:( n4:( ss:) de:> js:| ch:? sh:| mo:) zu:)
http://emmanuel.dammerer.at/selfcode.html