n'Abend!

Reine Zugriffskontrolle ohne HTTPS ist komplett als unsicher zu betrachten, weil die Passworte in der Regel unverschlüsselt übertragen werden - zumindest bei der Methode "Basic". Die Passwörter durch andere Methoden zu sichern ist allerdings kaum wirklich sinnvoll, da ja die zu sichernden Inhalte ebenfalls unverschlüsselt übertragen werden. Wenn es um vertrauliche Informationen geht, kommst du um SSL für diesen Bereich der Site nicht drumherum.

Na, dann richte ich das ein, ist ja kein großes problem, denke ich. Gemacht habe ich's noch nie, aber das wird wohl schon werden...

Sollte tatsächlich die crypt-Funktion dafür zuständig sein, die Passwörter in der .htusers zu hashen, dann mußt du im extremsten Fall davon ausgehen, dass die dadurch provozierte Maximallänge der Passwörter nur bei 8 Zeichen liegt - alles darüber hinaus wird beim hashen abgeschnitten und bei der Authentifizierung nicht geprüft.

Ja, das habe ich auch gelesen... Das ist bei den heutigen Bot-Netzen wirklich nicht viel.
ZITAT:
März 2006 Der FPGA-basierte Parallelrechner COPACOBANA kostet weniger als 10.000 Dollar (Materialkosten) und bricht DES in weniger als 9 Tagen
http://de.wikipedia.org/wiki/Data_Encryption_Standard

Aber wenn ich mal von folgender Rechnugn ausgehe:
56bit effektive Schlüssellänge = 2^56 theoreitsche Möglichkeiten. Macht also theoretisch 2^28 Suchmöglichkeiten = 268.435.456 Fälle.
(siehe heirzu auch http://de.wikipedia.org/wiki/Geburtstagsparadoxon)

Ich schätze, da bekäme ich vorher Post von meinem Provider...

Du darfst davon ausgehen, dass gecryptete Passwörter, die mit der alten Crypt-Methode erzeugt wurden, knackbar sind. Allerdings setzt das ja voraus, dass jemand Zugriff auf die in der .htusers gespeicherten Passworte hat. Das ist ja aber eher unwahrscheinlich.

Ja, das stimmt...

Weißt Du was darüber? Oder auch Abhilfe? Denn da ich die Daten des Login-Fenster ja nicht selber Abfrage und überprüfe, sondern das automatisch passiert kann ich ja auch die Verschlüsselungsmethode nicht ändern...
Du darfst davon ausgehen, dass der in REMOTE_USER enthaltene Benutzername vom Apachen gründlich geüprüft wurde und korrekte Daten angegeben hat. Wenn du "sichere" Passwort-Hashes verwenden möchtest, mußt du die lediglich in der .htusers verwenden - auf die wirst du ja wohl Einfluß haben. Den Rest macht der Apache automatisch. Er erkennt das anzuwendende Verfahren automatisch - auch beliebige Mischungen je User sind problemlos machbar.

Das läuft (bei Strato) zumindest nicht - habe gerade einfach mal interesseweiser den MD5 von gast eingegeben (d4061b1486fe2da19dd578e8d970f7eb) und konnte mich mit gast:gast nicht einloggen...

Kann man davon ausgehen, dass das Login so mit .htfile und SSL sicher ist?

Viele Grüße aus Münster,

Tom