Moin!

Du Sven, weißt Du, wie sicher der htaccess-Login ist? Ich habe irgendwo was gelesen von DES-Verschlüsselung der crypt-Funktion, und die hat wohl nur 56 bit.

Reine Zugriffskontrolle ohne HTTPS ist komplett als unsicher zu betrachten, weil die Passworte in der Regel unverschlüsselt übertragen werden - zumindest bei der Methode "Basic". Die Passwörter durch andere Methoden zu sichern ist allerdings kaum wirklich sinnvoll, da ja die zu sichernden Inhalte ebenfalls unverschlüsselt übertragen werden. Wenn es um vertrauliche Informationen geht, kommst du um SSL für diesen Bereich der Site nicht drumherum.

Sollte tatsächlich die crypt-Funktion dafür zuständig sein, die Passwörter in der .htusers zu hashen, dann mußt du im extremsten Fall davon ausgehen, dass die dadurch provozierte Maximallänge der Passwörter nur bei 8 Zeichen liegt - alles darüber hinaus wird beim hashen abgeschnitten und bei der Authentifizierung nicht geprüft.

Allerdings ist die crypt-Funktion nicht auf dieses uralte Unix-Verfahren festgelegt, so dass durchaus auch stärkere Hashing-Methoden zum Einsatz kommen könnten. Empfehlenswert ist dennoch, auf die klassische Crypt-Methode zu verzichten, und stattdessen MD5 oder SHA1 zu nehmen.

Und trotzt den Standardmäßigem Salt von 2 Ziffern bin ich mir nicht sicher, ob die so generierten Passwörter einem Brut-Force standhalten.

Du darfst davon ausgehen, dass gecryptete Passwörter, die mit der alten Crypt-Methode erzeugt wurden, knackbar sind. Allerdings setzt das ja voraus, dass jemand Zugriff auf die in der .htusers gespeicherten Passworte hat. Das ist ja aber eher unwahrscheinlich.

Weißt Du was darüber? Oder auch Abhilfe? Denn da ich die Daten des Login-Fenster ja nicht selber Abfrage und überprüfe, sondern das automatisch passiert kann ich ja auch die Verschlüsselungsmethode nicht ändern...

Du darfst davon ausgehen, dass der in REMOTE_USER enthaltene Benutzername vom Apachen gründlich geüprüft wurde und korrekte Daten angegeben hat. Wenn du "sichere" Passwort-Hashes verwenden möchtest, mußt du die lediglich in der .htusers verwenden - auf die wirst du ja wohl Einfluß haben. Den Rest macht der Apache automatisch. Er erkennt das anzuwendende Verfahren automatisch - auch beliebige Mischungen je User sind problemlos machbar.

- Sven Rautenberg