Christian Seiler: HTACCESS oder Sessions? (Sicherheits-Frage)

Beitrag lesen

SELF-Forum

HTACCESS oder Sessions? (Sicherheits-Frage)

Christian Seiler Homepage des Autors
+3 Informationen zu den Bewertungsregeln

Hallo amer,

Also, ein  htacces PW-Schutz funktioniert nur auf Servern mit Linux/Unix. Auf einem Windows-Server geht das nicht.

Nein. .htaccess ist kein PW-Schutz. .htaccess ist eine Möglichkeit, den Apache-Server zu konfigurieren. In einer .htaccess-Datei kannst Du unter anderem auch eine bestimmte Art von Passwortschutz konfigurieren: "HTTP Basic Authentication". Der Apache unter Windows kann übrigens auch HTTP Basic Authentication, der IIS genauso.

Generell würde ich zu einem PW-Schutz mittels <form> raten.

Warum?

Da man sich PHP-Skripte nicht downloaden kann

Man kann auch .htaccess/.htpasswd auch nicht runterladen, wenn der Webserver richtig konfiguriert ist.

(ich habe es noch NIE geschafft,

Es hängt von der Konfiguration des Webservers ab.

gibts da eigentlich Software dazu?

Nein, kann es auch nicht geben. Und wenn man es doch schaffen kann, dann braucht man keine extra Software dazu, dann ist der Server falsch konfiguriert.

besteht keinerlei Gefahr, das Passwort zu knacken.

Falsch. Wenn jemand "bayern" als Passwort wählt, dürfte das selbst über das Web sehr schnell geknackt sein (durch ausprobieren von Wörtern). Es hängt immer davon ab, wie sicher das Passwort gewählt ist. Christian Kruse hat einen Feature-Artikel zur sicheren Passwort-Wahl geschrieben.

Außerdem finde ich die htaccess-Eingabeaufforderung sehr plump. Es ist einfach ein Fenster, an dem man keine Designspezifische Veränderungen vornehmen kann.

Es ist Sache der Webbrowser, wie diese Eingabeaufforderung aussieht.

Bei <form>-PW-Schutz kann man das...

Bei einem anderen Passwortschutz muss man sich aber auch um Sessions und den ganzen Krempel kümmern *und* man kann andere Resourcen als (bspw.) PHP nur sehr umständlich schützen.

Ach ja: InternetCafés benutzen meist den IE,

Leider ja. In einer Umgebung, wo es eigentlich auf Sicherheit ankommt, sollte so etwas eigentlich nicht sein.

der sich (noch) keine Passwörter merken kann.

Doch, der kann sich Passwörter merken. Zum Glück ist aber wenigstens das in den meisten Internet-Cafés ausgeschaltet.

Für das - das muss man ihm lassen - ist der IE wirklich gut geeignet.

Für was? Internet-Cafés? Gerade das wäre der letzte Ort, wo ich den einsetzen würde. Die einzige Möglichkeit, den IE sicher zu betreiben, ist, wenn der Benutzer genug Erfahrung zum Thema Sicherheit hat. Bei Internet-Cafés ist das alles andere, als gegeben.

Viele Grüße,
Christian

Beitrag melden
+3
Informationen zu den Bewertungsregeln
0 15

HTACCESS oder Sessions? (Sicherheits-Frage)

Aqua
  • programmiertechnik
  1. -5
    amer
    1. 0
      Rouven
      1. -2
        amer
        1. 0
          skyposter
          1. 1

            Dezentrale Apache-Konfigurationsdateien und Zugriffsschutz

            Arx
            • webserver
          2. 0
            Johannes Zeller
    2. 2
      Robert Bienert
    3. 3
      Henryk Plötz
    4. 3
      Christian Seiler
  2. 3
    Marc Reichelt
    1. 0
      Aqua
      1. 2
        Robert Bienert
      2. 4
        Christian Kruse
  3. 2
    Robert Bienert