Hi Cheatah!
Das geht ja runter wie Öl... ;-)
Waren mein bisher hauptsächlich im SELFforum gesammeltes Wiissen bzgl. Sicherheit. Aber mir fehlt noch ne ganze Menge, vor allem Sicherheitslöcher auf der Homepage selbst.
Eine Frage zu htaccess:
Die Passwörter werden auf dem Server ja verschlüsselt gespeichert. Wie funktioniert das dann bei der Eingabe, wird das was in das Fenster eingegeben wird direkt als username:crypt(passwort) im Arbeitspeicher abgelegt, oder im Klartext, und auch im Klartext übertragen, wenn man kein SSL benutzt?
Und noch eine Frage wegen das anderen postings: Du sagst ein Problem ist wenn die SessionID in den Log-Files irgendwelcher Proxies... stehen, korrekt? Aber die Session wird doch rel schnell wieder gelöscht, wenn nicht mehr benötigt, das müßte also sehr zeitnah passieren, oder?

Und wenn ich SSL verwende, wird dieses Risiko dann ausgeschaltet? Was steht dann  in den Refers? Der Proxy... muß aber doch irgendwie wissemn, wohin er weiterlieten soll, un dwenn der das weiß kann das doch auch geloggt werden, oder?

Um das alles noch etwas sicherer zu machen, könnte ich ja evtl den kpl. HTTP_USER_AGENT verwenden. Ich hab mal in der phpinfo() geguckt, was wir da so alles schönes haben, in Frage kämen meiner Meinung:
HTTP_USER_AGENT - sehr verscheiden - gut geeignet, oder?
HTTP_ACCEPT - genau so, vielleicht etwas lang, oder?
REMOTE_ADDR - auch gut, aber was ist mit Proxys? Kann es nicht vorkommen, das die Adresse während des Besuches wechselt? ich meine jetzt nicht dyn IP-Vergabe, da ist die session eh zu Ende, oder? Wie ist das mit der IP?
REMOTE_PORT Da weiß ich nicht, ob der immer gleich bleibt, wie ist das, wonach werden die Ports aufgeteilt?

Es reicht ja immer zu wissen, ob sich eher die Session beenden würde, als das sich z.B. der Port ändert. Weißt Du wie das ist? OK, von diesen Daten speichere ich dann eine bestimmte Kombination in der Session und das prüfe ich jedesmal, oder? Hat es Sinn, das noch mit MD5() zu verschlüsseln?

Vielen Dank schonmal!

Viele Grüße
Andreas