Wie sicher ist .htaccess ?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
anhang
anmeldung
augenblick
bevorzugen
datum
eingabeaufforderung
frage
knacken
login
mitglied
risiko
schutz
senden
stellen
system
textfeld
verpacken
verschaffen
wissen
zugang
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
.htaccess dürfte noch sicherer sein als ein PHP Login.
Denn .htaccess wurde jetzt schon mehrere Jahre von tausenden Webservern benutzt und bis jetzt gab es meines Wissens keine Sicherheitslücken.
Bei einem eigenem Login-System ist die Gefahr daher wesentlich wahrscheinlicher, dass ein Angreifer über dieses System eindringt, als dass .htaccess überwindet.
Beitrag geändert: 4.11.2007 23:03:45 von bladehunter -
Mich würde das auch mal interessiern!
Ist irgendwem bekannt, ob es hier Sicherheitslücken gibt und wie die aussehen?
Da dass ja auf HTTP-Ebene läuft, wenn ich mich nicht irre, sollte es schwer sein etwas zu manipulieren. -
es kommt darauf an, wie komplex dein .ht-dateisystem ist... wenn du nur 2 datein erstellst, nämlich .htaccess und .htpasswd dann ist es nicht schwer, diese zu knacken... aber sobald du auch noch .htgroups und .htusers einbindest, wirds für hacker schwieriger...
hier: so sieht .htaccess aus:
http://www.10d-site.de.vu/ -
Hallo,
also meines Wissens ist .htaccess Schutz nur durch zwei Möglichkeiten zu knacken:
1) Man schafft es sich Zugang zum Server selbst zu verschaffen und die Files auszulesen (SFTP, SSH) was sehr sehr unwarscheinlich aber nicht unmöglich ist.
2) Man bearbeitet die Eingabeaufforderung per BruteForce bzw. RainbowTables. Das wiederrum läuft ins leere wenn du Passwörter mit min. 8 Stellen verwendest und auf logische Begriffe verzichtest.
(schlecht: tina08 gut: Q2%C$sf@wgYm )
Sessions und PHP sind ein Risiko bei der Anmeldung. Solltest du unabsichtlich jemanden einen Link mit deiner gerade geloggten SID im Anhang schicken hat er in diesem Augenblick Zugang zu deinen Daten ohne das Passwort wissen zu müssen.
Grüße
-
iefclan schrieb:
...
Sessions und PHP sind ein Risiko bei der Anmeldung.
...
Bei .htaccess werden aber die Anmelde-Daten bei jedem weiteren Seitenaufruf wieder mitgesendet, bei Sessions und PHP nur beim Anmelden.
Ich würde sagen das .htaccess trotzdem ziemlich sicher ist.
Zum knacken:
Zusätzlich zu den beiden Möglochkeiten die iefclan genannt hat, käme noch ein Man-in-the-middle-Angriff hinzu, der aber sehr unwarscheinlich ist.
Beitrag geändert: 11.11.2007 12:14:18 von qixi
Beitrag geändert: 11.11.2007 12:14:41 von qixi -
iefclan schrieb:
Hallo,
also meines Wissens ist .htaccess Schutz nur durch zwei Möglichkeiten zu knacken:
1) Man schafft es sich Zugang zum Server selbst zu verschaffen und die Files auszulesen (SFTP, SSH) was sehr sehr unwarscheinlich aber nicht unmöglich ist.
2) Man bearbeitet die Eingabeaufforderung per BruteForce bzw. RainbowTables. Das wiederrum läuft ins leere wenn du Passwörter mit min. 8 Stellen verwendest und auf logische Begriffe verzichtest.
(schlecht: tina08 gut: Q2%C$sf@wgYm )
Sessions und PHP sind ein Risiko bei der Anmeldung. Solltest du unabsichtlich jemanden einen Link mit deiner gerade geloggten SID im Anhang schicken hat er in diesem Augenblick Zugang zu deinen Daten ohne das Passwort wissen zu müssen.
Grüße
Kann ihm nur zustimmen! Hab ich auch mal wo gelesen,...
Aber wenn du es nur so für deine eigenen kleine website benutz, dann wirdt .htaccess wohl völlig ausreichen!!
MFG Rick -
Fürher habe ich die Admin-Bereiche per php geschützt. Jetzt gehe ich auch über zu .htaccess. Finde ich im Grunde einfacher, praktischer und vor allem sicherer.
Aber für Seiten mit Mitgliedern würde ich eher eine php variante mit sessions bevorzugen. -
Hab auf meiner alten Homepage auch .htaccess benutzt, da ich mich mit php nicht auskannte und .htaccess ziemlich einfach zu bedienen war. Mal ne Frage, warum würdest du für eine Seite mit Mitgliedern php bevorzugen?
-
habe ne frage ist es möglich die passwortanforderung, die kommt wenn man ne geschütze seite betreten will so zu verpacken das man über nen schönes css gestyltes loginfeld reinkommt? also irgendwie die daten vom textfeld an die "hässliche" Passwortauforderung zu senden?
Das geht afaik nicht, da .htaccess rein gar nix mit HTML und CSS zu tun hat. -
Hallo bin durch X-Black hier auf den Thread aufmerksam geworden. Ich hab mal gelesen das sich jemand über ein Eingabefeld welches über php läuft zugriff auf die .htpasswd bekommen hat und er nun den user und sein passwort bekommen hatte. Aber das passwort war verschlüsselt kann man wenn man theoretisch das passwort bekommt es irgendwie benutzen oder was könnte man mit diesem verschlüsselten Passwort alles anstellen?
-
Aber das passwort war verschlüsselt kann man wenn man theoretisch das passwort bekommt es irgendwie benutzen oder was könnte man mit diesem verschlüsselten Passwort alles anstellen?
Um ehrlich zu sein gar nichts. Das Passwort wird beim generieren zur Laufzeit mit einem Zufallswert verschlüsselt was nicht reproduzierbar ist. Die Verschlüsselung ist vom Apache abhängig.
entweder mit DES z.B. TjxPuq/Xs3Eeg
oder mit MD5: $1%JjknbEt$dPssBUFzB4lzBnSRb2cis1
Sollte man jedoch die Rechenpower eines Cluster sein eigen nennen dann wäre es wohl möglich ein parallel gültiges Kennwort mit gleichem Hash zu suchen was bei MD5 durchaus existiert. Da DES noch aus der UNIX Zeit stammt und schon etwas in die Jahre gekommen ist dürfte hier wohl eher mit Erfolg zu rechnen sein.
Im Grunde alles nur Theorie da dies jedem Otto-Normal Nutzer mit seiner Hardware nicht möglich ist.
Grüße
-
In erster Linie ist .htaccess genauso sicher wie jeder Login per PHP. Also solange der Apache nicht down ist, kann man die Daten nicht ohne weiteres einsehen. In zweiter Linie muss ich jedoch sagen, dass für die meisten hier .htaccess sicherer ist als ein Login per php, da viele einfach zu wenig auf Sicherheitslücken achten. Wenn eine relevante Lücke besteht, ist es ein leichtes aus einer php-Datei oder aus einer .htpasswd die Zugangsdaten auszulesen.
Man kann .htaccess auch mit ner Datenbank verknüpfen, ihr müsst also nicht jedes Mitglied da rein schreiben. Stichwort: mod_auth_mysql
Beitrag geändert: 15.11.2007 0:02:52 von trueweb -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage