Hi.

gegenfrage: wieso laesst htaccess bei mir weit mehr als 3 versuche durch?
imho eine server-spezifische Einstellung-

imho?  wo stell ich das ein?

kann ich cgi's in cgi-bin damit schuetzen? bei scriptaufruf - htaccess-abfrage?
Was willst Du denn machen?
"Runterladen" vom Quellcode geht eh nicht.

nein, wegen $ENV{'REMOTE_USER'}

Und Passwortschutz ist viel besser im cgi selbst einzubauen (z.B. wird Parameter pwd=XYZ gefordert, sonst macht das cgi irgendwas).
Ausserdem kannst Du dann die fehlgeschlagenen Aufrufe loggen... ;-)

ja da koenntest du recht haben.

Hallo

gegenfrage: wieso laesst htaccess bei mir weit mehr als 3 versuche durch?
imho eine server-spezifische Einstellung-

Negativ.  Eine maximale Versuchsanzahl ist keine Eigenschaft von HTTP und damit auch nicht im Server zu konfigurieren. Der Browser bekommt einen 401 Status, einen Response-Header mit den nötigen Informationen für eine Identifizierung und evt. noch einen Body.
(Es ist übrigens _nicht_ 403. Zitat RFC2616 "Authorization will not help")
Den übermittelten Body kannst du per htaccess (beim Apache) oder Serverkonfiguration einstellen. Ob der Browser das anzeigt oder nicht, und wenn ja nach wievielen Versuchen und ob er überhaupt drauf reagiert ist dem Browserhersteller oder dem Benutzer überlassen.

kann ich cgi's in cgi-bin damit schuetzen? bei scriptaufruf - htaccess-abfrage?
Was willst Du denn machen?
"Runterladen" vom Quellcode geht eh nicht.

Die Sicherheitslücken sind nicht nur bei MS-Ware reichhaltig vorhanden. --> Lieber nicht drauf verlassen.

Und CGIs sind Requests wie alle anderen auch und können geschützt werden.

Und Passwortschutz ist viel besser im cgi selbst einzubauen (z.B. wird Parameter pwd=XYZ gefordert, sonst macht das cgi irgendwas).
Ausserdem kannst Du dann die fehlgeschlagenen Aufrufe loggen... ;-)

Passwortschutz ist hier, denke ich, besser per Serverkonfiguration zu erledigen. Den Servercode haben in der Regel viele Leute überprüft und ich würde annehmen wollen, das er wesentlich weniger fehlerreich ist, als alles was du programmieren würdest. Außerdem loggt ein gescheit konfigurierter Server ohnehin jeden Fehlschlag, besonders Sicherheitsverstöße.
Wenn du versuchst Passwörter per Formularfeld zu übermitteln, läufst du Gefahr diese im Klartext durch die Leitung zu schicken.

Henryk Plötz
Grüße von der Ostsee
<img src="http://www.ploetzli.ch/banner.jpg" alt="">