andreas: Was ist an .htaccess sicherer als an UserDB???

Beitrag lesen

SELF-Forum

Was ist an .htaccess sicherer als an UserDB???

andreas
Informationen zu den Bewertungsregeln

Hallo!

Danke Euch allen für die Antworten!

Der Pfadname der .htpasswd-Datei steht im Klartext in der .htaccess-Datei
drin - diese kannst Du manuell erstellen und hochladen, genau wie Deine
HTML-Seiten. Der Webhoster hat damit gar nichts zu tun.

Es kann natürlich sein, daß der Webhoster irgend ein GUI anbietet, um die
.htpasswd-Dateien im Dialog zu bearbeiten, und daß dieses GUI irgendwelche
Einschränkungen aufweist. Wenn Dich diese stören, dann verwende es halt
einfach nicht ...

Nein, das meinte ich nicht. Ich meine dass ich bei machen Hostern nicht die Möglichkeit habe, auf andere Verzeichnisse zuzugreifen als die htdocs! Also _muss_ ich die .htpassw in einem für Browser erreichbares Verzeichnis ablegen. Und wenn ich die im .htaccess geschützen Bereich ablege wird es wohl OK sein, oder was ist besser?

HTTP Authentication "Digest" würde Dir erlauben, die Kenndaten bereits in
verschlüsselter Form (MD5) zu _übertragen_.

"Basic" ebenso wie jede formularbasierte Methode sendet die Daten im
Klartext (bzw. Base64-codiert) über die Leitung. (Es sei denn, Du legst
eine SSL-Schale um die gesamte Kommunikation herum.)

Gilt das auch für HTACCESS?

Wieso das? Wenn Du ein GUI für die Datenbank schreiben kannst, dann kannst
Du auch einen GUI-Editor für .htpasswd-Dateien schreiben (das ist m. E. sogar
viel einfacher).

Also einfach ein php Script, welches die .htpasswd öffnet und den Inhalt mit explode() aufschlüsselt, den Inhalt in einer Schleife ausgibt und dann mache ich hinter jede User-Pass kombination 2 Links, einmal bearbeiten und einmal löschen, der eine löscht die Zeile, der andere schreibt die Daten in ein Formuler, wo ich die Daten verändern kann, und dazu noch ein Formular welches eine neue Zeile einfügt, Passwörter mit crypt() verschüsselt. Ginge das so in etwa? Leider habe ich noch nie was in der Art versucht.

Darüber hinaus wäre "Digest" wirklich sicherer als alles, was Du selbst
bauen kannst.
Zum jetzigen Stand der Browser-Entwicklung schließt Du damit allerdings
sämtliche Netscape-Browser aus; Opera 4, M$IE 5, Mozilla 0.9.7 und Amaya
(ich habe 5.3 probiert) spielen bereits mit.

Also fürs erste lieber Basic mit SSL-Verschlüsselung.

Gibt es eigentlich die Möglichkeit an Stelle des sich öffnenden Auth-Fensters eine .htaccess Authentifizierung in ein html-Formular einzubauen? Jetzt nur wegen der Optik!

Grüsse
  Andreas

Beitrag melden
Informationen zu den Bewertungsregeln