Moin,

ich würde gern von euch eure meinung zu passwortgeschützten seiten mittels sessions vs htaccess (beides ssl verschlüsselt natürlich) hören.

Ein paar random thoughts dazu:

Pauschal würde ich erstmal sagen, dass eine Verwaltung von Passwörtern über Datenbanken u.ä. in Verbindung mit Sessions flexibler ist.
Man kann Passwörter, Benutzergruppen, Berechtigungen usw. einfach besser handhaben, wenn sie nicht in irgendwelchen flachen Textdateien herumliegen.

Einen Nachteil bei Sessions ohne Cookies sehe ich darin, dass URLs, in denen die Session-ID auftaucht, benutzt werden können, um die Session zu "hijacken".

Beispiel:
 - User A ruft Webseite auf, bekommt eine Session zugeteilt, loggt sich ein -> Session gilt am Server als authenifziziert

- User A postet eine URL mit Session-ID im Selfhtml-Forum

- User B kopiert die URL und ruft sie auch

-> User B hat die (authentifizierte) Session von User A übernommen!

Dem kann man natürlich entgegenwirken, z.b. dadurch, dass besonders sicherheitskritische Funktionalitäten eben nochmal eine erneute Authentifzierung erfordern oder die Session nach ner Zeit abläuft (ist ja glaube ich sogar Standard). Trotzdem, das ist nicht ganz unproblematisch, und kann bei .htaccess-Schutz nicht passieren.

Ein Nachteil widerrum bei .htaccess:
Es reicht eine kleine Unachtsamkeit bei der Serverkonfiguration (dass z.b. die .htaccess-Datei ungewollt beschreibbar durch einen Prozess wird), und das wars mit der Sicherheit.

-> Mein pers. Fazit: Wenn der Server-Administrator weiß was er tut, nehmen sich .htaccess-Schutz und Authentifizierung über Sessions nicht so viel.
Für komplexere Systeme (viele Benutzer, viele Rollen, viele Benutzergruppen) wird die Wartung über .htaccess jedoch sehr umständlich. Für kleinere Anwendungen dagegen ists ok.

Greetings,
Jörg