Robert Bienert: HTACCESS oder Sessions? (Sicherheits-Frage)

Beitrag lesen

Hallo!

Könntest Du bitte näher auf die von Dir angesprochenen
"Bruteforce-Attacken" eingehen?  Was versteht man darunter,
und wie schützt man sich?

Brut-Force klingt nicht nur etwas marzialisch, das ist es auch. Unter einer BF-Attacke versteht man das Knacken eines Passwortes durch ausprobieren sämtlicher Zeichenkombinationen, so lange bis man auf diese Weise das Passwort erhält. Bei Bankkarten müsste ich für eine BF-Attacke z.B. alle Zahlen von 0000 bis 9999 ausprobieren. Bei .htaccess kann man sich nicht dagegen schützen, mit Sessions wohl schon. Unix-Systeme z.B. schützen sich, dass nach jedem 3ten fehlgeschlagenen Login 5 Sekunden vergehen, bis der Login-Prompt wieder erscheint. Damit dauert eine BF-Attacke sehr lang.

Wenn wir davon ausgehen dass ein Passwortschurtz über Sessions
und normale Passwortabfrage bei einer <FORM> action hackbar ist,
und auch  HTACCESS-Passwortschutzt hackbar ist,
welche der beiden Varianten ist noch etwas sicherer?

Äh, das verstehe ich nicht genau, denn (fast?) jedes Passwort ist knackbar. Der Nachteil bei Sessions ist, dass es sich halt um Sessions handelt, d.h. ohne Cookies oder als AOL-Nutzer (wechselnde IPs zwischen zwei HTTP-Anfragen) wird das ganze etwas problematisch. .htaccess hingegen ist auf HTTP-Ebene implementiert. Beide Methoden profitieren aber ungemein durch "sichere Passwörter", d.h. nicht zu schnell zu erraten und HTTPS-

Danke!
Aqua,

Frohes Neues, Robert