echo $begrüßung;

für einen passwortgeschützen bereich einer homepage...ich habe beides bereits erfolgreich probiert, jedoch stellt sich mir die frage was sicherer ist im bezug auf das hacken. (mir ist bekant das beides icht 100% sicher ist, nur stellt sich mir die frage, mit welcher variante ich mit dem geringsten aufwand eine halbwegs sichere umgebung schaffe.)

Sie ist nicht nur nicht zu 100% sondern gar nicht beantwortbar, wenn man nur diese beiden Teilaspakte einer generellen Absicherung betrachtet. Außerdem ist zu definieren, was du in dem Fall unter Sicherheit verstehst. Brauchst du die Sicherheit von Fort Knox oder geht es nur um (Entschuldigung) Popelkram? Oder anders gefragt: Was genau soll verhindert werden?

Oft ist es auch die Kombination aus mehreren Unachtsamkeiten und Unterlassungen, die eine Sicherheitslücke ergeben, wie man jüngst sehr anschaulich sehen konnte: http://www.heise.de/security/Hacker-manipulieren-Schalke-Seite--/news/meldung/132404 und http://www.heise.de/security/Website-von-Wolfgang-Schaeuble-ueber-Typo3-Luecke-gehackt--/news/meldung/132315.

=> mein Webspace ist von tecserver.at, somit gehe ich davon aus, dass der server selbst von dieser firma geschützt wird.

Man muss immer davon ausgehen, dass der Hoster und seine Technik auch nicht unfehlbar ist und dass seine Kunden beispielsweise aus Unachtsamkeit seine Bemühungen torpedieren können.

echo "$verabschiedung $name";

Hallo

Server-Authentifizierung und Sessions haben erstmal unterschiedliche primäre Anwendungszwecke. Sie lassen sich aber zum jeweils anderen Zweck benutzen.

Server-Authentifizierung:
Ein Client (Robot, anderer Server, aber auch ein Benutzer an seinem Browser) muss sich für den Zugriff auf bestimmte Verzeichnisse/Dateien dem Webserver gegenüber als berechtigt ausweisen. Schlägt dies fehl, wird dem Clienten mitgeteilt, dass er auf den entsprechenden Bereich keinen Zugriff bekommt (Statuscode 403), gelingt die Authentifizierung erlangt der Client Zugriff auf den Bereich. Alle unter die Authentifizierung fallenden Dateien/Ressourcen erfordern beim Zugriff die Legitimation gegenüber dem Server.
Bei jeder weiteren Anfrage an den Server wird der Benutzername mitgeschickt, sodass der Client/Benutzer weiterhin identifizierbar bleibt.

Session:
Der Zweck der Session ist es primär, einen Clienten/Benutzer während der Laufzeit der Session zu identifizieren, also bei jedem Zugriff wiederzuerkennen. Man kann dies natürlich auch mit einem Login verbinden, so dass ein Benutzer z.B. gegenüber einer Liste von berechtigten Benutzern in einer Datenbank abgeglichen werden kann.

Beide Techniken ermöglichen das von dir gewollte. Bei der Session musst du aber selbst dafür sorgen, dass ein unberechtigter Zugriff abgewiesen wird. Die in dem entsprechenden Bereich liegenden Seiten/Dateien liegen quasi öffentlich auf dem Server, nur dein Login, bzw. die Folgefunktionen, stellt, wenn es wie gesollt funktioniert, sicher, dass nicht berechtigte Zugriffe abgewiesen werden. Bei der Server-Authentifizierung erledigt das der Server selbst.

für einen passwortgeschützen bereich einer homepage...ich habe beides bereits erfolgreich probiert, jedoch stellt sich mir die frage was sicherer ist im bezug auf das hacken.

Absolut sicher ist nichts. Der Server kann gehackt werden und so Zugriff sowohl auf eine Datenbank als auch auf irgendwelche Dateien (auch die mit den Passwörtern) erlangt werden. Allerdings halte *ich* eine serverseitige Authentifizierung, mit einer außerhalb des per HTTP erreichbaren Bereichs gelagerten Passwortdatei, für sicherer.

Es werden nicht viele Benutzer sein, somit ist das Problem bezüglich der htaccess und der etwas umständlicheren textdatenbank i.o.

Wie an anderer Stelle erwähnt, muss es keine Textdatenbank (typischerweise: .htpass) sein. Die benutzername-Passwort-Kombination kann z.B. auch in einer Datenbank gespeichert werden. Der Server muss dann aber auch wissen, dass er dort suchen muss.

Tschö, Auge

Hallo,

Nein das hat primär mal nix mit dem Speicherformat zu tun.

Ack, point taken.

ein Flatfile ist unabhängiger als eine Datenbank.

Richtig, das habe ich aber nicht gemeint. Die Verwaltung komplexer Datenstrukturen ist in einer Datenbank IMO besser aufgehoben. Denn dafür sind die Dinger. Anfragen wie "Suche mit alle Benutzer, die auf Bereich X aber nicht auf bereich Y Zugriff haben und seit dem XX.XX.2009 nicht mehr eingeloggt waren" möchte ich nicht über grep,awk und sed in ner .htaccess-Datei suchen müssen.
Freilich hast Du recht, dass die Grenze schwimmend ist - DBMS lagern ja den Teil, den sie nicht im Hauptspeicher halten können, auch in Dateien aus, und auch für Textdateien gibts ja SQL-APIs und wie in einem anderen Post in diesem Thread ja richtig angemerkt wurde, das Basic Authentication-Scheme kann man ja auch gegen eine Datenbank laufen lassen.

Zudem: Poste hier doch mal, was dir Live Headers anzeigt?

Ok...das ist aber ein theoretisches Beispiel (was zugegeben in Technik-basierten Foren wie dem Selfhtml-Forum mal vorkommen kann, aber nicht der Regelfall ist.) Bzw., bei jemand der LiveHTTPHeaders einsetzt, gehe ich i.d.regel davon aus, dass er weiß, was in einer solch mitgeschnittenen Kommunikation alles an persönlichen Daten drinstehen kann (und diese ggf. raus-X-t bgz. anonymisiert).
Das ist so, wie wenn ich sage "Poste mal Dein Passwort".

Aber ab einer gewissen Abstraktionsebene verschmelzen ohnehin beide Ideen zum selben technischen Grundprinzip:

Benutzer bekommt Authentifizierungsanfrage, authentifiziert sich.
Fortan sendet der Browser jedesmal Authentifizierungsinformationen mit
(im Falle von htaccess o.ä. als Authorisation-Header, im Fall von Sessions als Session-ID im Cookie/der URL). Der Server benutzt diese Authentifizierungsinformation, um den Benutzer zu identifizieren und zuordnen zu können.