Hi,

Das ist alle hochkomplitziert, und pot. Angreife haben oft irgendwelche Tools, die automatisch alle häufigen Anfängerfehler oder bekannte Sicherheitslücken ausnutzen. Dagegen sehe ich mit meinen sehr spärlichen Programmiererfahrungen sehr blaß gegen aus.

aufgrund der sehr klaren Vorstellungen von Sicherheit und potentiellen Problemen, die Du hier präsentierst, muss ich Dir sagen, dass ich Dir dies nicht glaube.

Vielleicht haben die Profis hier ja noch den ein oder anderen Tipp, worauf man achten sollte, würde mich auch sehr interessieren!

Das Wesentliche scheint Dir bereits bewusst zu sein: Sicherheit ist kein Ziel, sondern ein Weg, der immer wieder ein Stückchen weiter gegangen werden muss. Bei den meisten der Schritte ist es hilfreich, sich den Grundsatz "whitelist is better than blacklist" vor Augen zu haben: Lieber nur das definieren, was erlaubt ist, und den Rest ablehnen; als das zu definieren, was _nicht_ erlaubt ist (und nämlich mit Sicherheit (ha, ha :-) etwas übersehen).

Ich kann Dir bei wirklich kritsichen Bereichen nur zu htaccess raten, alles andere ist ein Sicherheitsrisiko.

Nö. Aber Basic/Digest Authentication ist etabliert und bewährt - eine Alternative mit ähnlich geringem Risiko zu schaffen, kostet verdammt viele Ressourcen.

Wenn Du jetzt nur einen privaten Bereich z.B. in eine, Forum hast, dann ist es nicht ganz so wild, ertmal kann nicht viel passieren, außerdem lohnt sich da kein Angriff.

Es ist leicht, vorher zu sagen, ein Angriff würde nicht lohnen. Wenn dann aber plötzlich etwas lohnenswertes da ist, ist es ziemlich schwer, den Sicherheitsmechanismus nachträglich zu verbessern. Lieber sollte man sich von Anfang an an der _maximalen_ Sicherheit orientieren.

Cheatah