nicht angemeldet
(CGI und PERL und PASSWORT) Spezielle Frage ...
Hallo Forumsteilnehmer!
Wieder mal hab ich ein Problem und hoffe - wider erwarten - auf eine brauchbare Lösung.
Es geht wieder mal um Passwortschutz von Dateien.
Ich habe grade die hunderten Beiträge im Forum-Archiv gewälzt und bin zu folgenden Erkenntnissen gekommen (berichtigt mich, wenn was falsches dabei ist):
-
Guter Passwortschutz ist ist realisierbar mit Perl-Script oder mit .htaccess - wobei es bei guter Programmierung offenbar keinen wesentlichen Unterschied zwischen dem Script und dem .htaccess in Bezug auf Sicherheit gibt.
-
Einzige Schwachstelle ist offenbar, dass Passwort und Username als unverschlüsselter Text übertragen werden.
Und dazu meine Frage:
- Ich habe als einzige Möglichkeit die Verwendung von SSL aus dem Archiv herausgelesen, um auch diese Lücke zu schliessen. Gibt es wirklich nur diese eine Variante? Und wenn ja - kann ich dieses Zertifikat nur für meine Zwecke auf meinem Server verwenden - oder auch für andere Personen (andere Server)? Und wie leicht ist es, diese Daten (Passwort und Benutzername) wirklich anzeigen zu lassen (Protokolle, Tools, etc.)?
Vielen Dank im voraus und schöne Grüße aus Wien,
norbert =:-)
-
- Guter Passwortschutz ist ist realisierbar mit Perl-Script oder mit .htaccess - wobei es bei guter Programmierung offenbar keinen wesentlichen Unterschied zwischen dem Script und dem .htaccess in Bezug auf Sicherheit gibt.
Falsch.
Passwort Schutz realisiert man mit HTTP Authentication, möglich Digest notfalls aber auch Basic Authentication. Mit Perl/CGI ist das nur schwerlich möglich, mit .htaccess ist das möglich, aber es ist nur eine Möglichkeit HTTP Authentication zu realisieren.
- Einzige Schwachstelle ist offenbar, dass Passwort und Username als unverschlüsselter Text übertragen werden.
Nur bei Basic Authentication. Darüber hinaus ist der Webserver ein grosses Sicherheitsrisiko, wenn man via Telnet oder FTP o.ä. auf deine Passwortliste zugreifen kann und diese mit einer miesen Variante (sprich gängigen) von crypt verschlüsselt sind, ist es kein Problem mit wenig Aufwand an die Passwörter zu kömmen. Nur wenn das der Fall ist, kann man wahrscheinlich auch auf deine Daten so zugreifen, sprich noch ein Sicherheitsrisiko.
Und dazu meine Frage:
- Ich habe als einzige Möglichkeit die Verwendung von SSL aus dem Archiv herausgelesen, um auch diese Lücke zu schliessen.
Nein. Mit SSL oder dem Nachfolger von TLS werden Request und Response verschlüsselt, das ist relativ sicher, aber nicht die einzige Möglichkeit die übertragung des Passwortes im Klartext zu verhindern, sprich, Digest Authentication verwenden. Das wird allerdings bisher spärlich unterstützt, mit alten Browsern hat man also wenig Chancen, daher kann man beide Varianten gleichzeit anbeiten, der UA sucht sich dann raus, was er kann.
Gibt es wirklich nur diese eine Variante? Und wenn ja - kann ich dieses Zertifikat nur für meine Zwecke auf meinem Server verwenden - oder auch für andere Personen (andere Server)?
Nur für deinen Server.
Und wie leicht ist es, diese Daten (Passwort und Benutzername) wirklich anzeigen zu lassen (Protokolle, Tools, etc.)?
Wenn ohne SSL/TLS und mit Basic Auth gearbeitet wird sehr leicht.
Man in the middle Attacks, Angriffe auf Proxys, Trojaner wie ICQ o.ä. machen das sehr leicht, wenn man es will.