Hi,

Dannach ist es aber im pribnzip direkt wieder vorbei mit der Sicherheit - ich mache das nömlich mit Sessions, da könnte man es ja schaffen, eine aktuelle SessionID zu erfahren, dann ist man drin

es sei denn, Du identifizierst den User nicht ausschließlich an der Session-ID. Zwar ist es natürlich nicht möglich (auch Cookies helfen bekanntermaßen nur bedingt), einen Client (oder gar User) eindeutig zu identifizieren; aber man kann hinreichend weit einschränken, indem man clientspezifische Attribute wie IP, User-Agent etc. mit abspeichert.

Bei htaccess wird der Browser bei jedem Aufruf überprüft,

Nun ja, der Browser schickt die Logindaten jedes Mal mit. "Den Browser zu prüfen" stelle ich mir anders vor ;-)

Ist das so richtig verstanden?

Grundsätzlich ja. Eine sehr klare Beschreibung der Situation.

Aber in der Praxis - erraten kann man die PHPSESSID wohl kaum denke ich,

Das denke ich auch :-)

also müßte man entweder auf einen anderen Computer der eingeloggt ist zugreifen und hätte da die Cookiedaten,

Du sagst selbst, dass die Session-ID auch in der URL stehen kann (längst nicht jeder User akzeptiert Cookies - bisweilen werden diese bereits geblockt, bevor er die Chance dazu hätte), und die ist gut sichtbar, beispielsweise in Referrer-Logs.

aber könnte man dann nicht genau so einfach an die htaccess Zugangsdaten,

Die stehen browserseitig nur im Arbeitsspeicher; praktisch betrachtet hat ausschließlich der Browser darauf Zugriff (naja, Microsoft-Systeme verschicken bei Abstürzen komplette Images des Speichers). Da Du SSL verwendest, sind die Daten bei der HTTP-Übertragung verschlüsselt, können also auch nicht ausgelesen werden. Serverseitig: Selbst wenn der Server so (fehl-)konfiguriert ist, dass die Passwortdateien (welche sich eh nicht im per HTTP zugänglichen Bereich befinden sollten) lesbar sind, sind die Passwörter (außer auf Windows-Systemen) irreversibel verschlüsselt.

Das Andere Risiko ist wohl, wenn die Daten unverschlüsselt über Unsichere Knoten im Internet übertragen werden, das da jemand die Daten mitliest. Könnte derjenige denn wohl genauso einfach die Daten die im Cookie stehen mitlesen, genau so einfach wie das was im GET Request steht?

Wenn jemand Zugriff auf die Requests und Responses hat, und wenn diese nicht von einer SSL-Schicht verschlüsselt werden, stehen ihm sämtliche kommunizierten Daten zur Verfügung.

PS: Erst wenn man die Schwachstellen kennt versteht man solche Sachen und kann was dagegen unternehmen!

Korrekt :-)

Cheatah