Hi

Nabend!

Also, ein  htacces PW-Schutz funktioniert nur auf Servern mit Linux/Unix. Auf einem Windows-Server geht das nicht.

Sorry, aber auf meiner DOSe klappt der .htaccess-Schutz wie vorgesehen, sogar mit Dateien des Namens .htaccess, d.h. nur weil der Windows-Explorer damit Probleme hat, heißt das noch lange nicht, dass der Apache oder irgendwelche Texteditoren solche Dateien nicht be-/verarbeiten könnten.

Generell würde ich zu einem PW-Schutz mittels <form> raten. Da man sich PHP-Skripte nicht downloaden kann (ich habe es noch NIE geschafft, gibts da eigentlich Software dazu? Und darf man das?), besteht keinerlei Gefahr, das Passwort zu knacken. Außer man hackt den Server, was aber nicht sehr häufig vorkommt.

Da brauch, wie gesagt, nur ein Konfigurationsfehler auftreten, voila. Außerdem, ob man Server hacken darf oder nicht, kümmert einen Kriminellen relativ wenig (deshalb ist er ja auch kriminell). Bei der Komplexität heutiger Software und Computer sind Sicherheitslücken so gut wie überall drin, man muss sie nur finden und ausnutzen. Und das gehackte Webserver selten sind, merkt man ja grad an den vielen geschlossenen phpBB-Foren, weil Santy so freundlich ist (http://www.heise.de/security/news/meldung/54623, außerdem als kleine Lektüre: http://www.heise.de/security/news/meldung/54671).

Außerdem finde ich die htaccess-Eingabeaufforderung sehr plump. Es ist einfach ein Fenster, an dem man keine Designspezifische Veränderungen vornehmen kann. Bei <form>-PW-Schutz kann man das...

Dafür kann man aber diese Eingabeaufforderung auch nicht manipulieren, Formulare schon. Man sollte bereit sein, der Sicherheit zu Gute Abstriche beim Design zu machen. Ist langfristig besser so.

Ach ja: InternetCafés benutzen meist den IE, der sich (noch) keine Passwörter merken kann.

Meiner Schon, IE 5.0.

[...] Für alles andere nicht...

;-)

amer

Frohes Neues, Robert