nicht angemeldet
Wie sicher ist Passwort mit Perl ?
Hallo,
da ich leider kein .htaccess habe, wollte ich mal wissen, wie sicher es ist mit Perl nach dem Passwort nach dem Prinzip if ($pw eq 'passwort') usw usw.
Ich würd gern wissen, worauf ich punkto Sicherheit dabei 8en muss, und wäre es sehr schwer das Passwort auf diese Weise unbefugt rauszukriegen oder ist es zB für ein Script Kiddie ein Kinderspiel ?
-
Sup!
Wenn das Perl-Skript den Zugang zu den Daten in geeigneter Weise verhindert, d.h. man ohne das Skript auf keinen Fall an die Daten rankommt, und die Daten vom Perl-Skript zurückgeliefert werden, dann ist es eigentlich genau so sicher wie .htaccess, denn da werden die Passworte IMHO auch nicht verschlüsselt übertragen.
Du könntest die Sicherheit noch erhöhen, wenn Du die Anzahl der Fehlversuche von einer IP pro Zeiteinheit begrenzt - dazu bräuchtest Du dann natürlich irgendeine Datenbank bzw. als Minimallösung eine Textdatei oder eine Datei mit Dater::Dumper-Daten mit gerade gesperrten IPs und der Zeit, wann sie wieder frei sind...Dann ist brute-force eine sehr zeitaufwendige und auffällige Sache, und solange Perl nicht irgendwelche Fehler wie Buffer-Underruns hat (was ich wirklich nicht glaube), sollte man da nichts machen können.
Gruesse,
Bio
-
Sup!
genau so sicher wie .htaccess, denn da werden die Passworte IMHO
auch nicht verschlüsselt übertragen.http://httpd.apache.org/docs/mod/core.html#authtype
http://httpd.apache.org/docs/howto/auth.html#digestworks -
Hallo,
ich hab gar nicht gewusst, daß es genauso sicher wie .htaccess ist, weil ich geglaubt hab, daß .htaccess irgendwie anders arbeitet.
Das mit der IP blocken is sicher eine gute Idee, sowas werd ich auf jeden Fall einbauen, wenn ich den Passwortschutz mache, danke.-
Hi,
ich hab gar nicht gewusst, daß es genauso sicher wie .htaccess ist,
diese Aussage macht so gar keinen Sinn, wie </?m=19511&t=3413>
versuchte, Bio (und Dir) klar zu machen.weil ich geglaubt hab, daß .htaccess irgendwie anders arbeitet.
Welche der beiden .htaccess-AuthTypes meinst Du denn?
Viele Grüße
Michael-
Sup!
diese Aussage macht so gar keinen Sinn, wie </?m=19511&t=3413>
versuchte, Bio (und Dir) klar zu machen.Okay, Korrektur: Wenn Du den Browser überreden kannst, die Passworte als MD5-Hash zu senden, ist es genau so sicher wie .htaccess, wenn es im MD5-Modus arbeitet... jetzt besser?
Gruesse,
Bio
-
Hi Bio,
Wenn Du den Browser überreden kannst, die Passworte als MD5-Hash
zu sendenich würde es mal so ausdrücken:
Wenn Du den Browser dazu zwingst (in dem Du im entsprechenden HTTP-Header
den Digest-Modus verlangst), die Passworte als MD5-Hash zu senden.Das schließt natürlich alle Browser aus, die das nicht können
(also insbesondere alle Netscapes und alle Mozillas kleiner als 0.9.7 -
selbst K-Meleon 0.6 enthält ja nur einen Mozilla 0.9.5).Insofern bin ich heilfroh, daß das jetzt _endlich_ dort eingebaut wurde.
Ab Mozilla 1.0 werde ich lauthals dazu aufrufen können, AuthType Basic
aus Sicherheitsgründen nicht mehr zu verwenden.Viele Grüße
Michael
-
-
-
-