Aqua: .htaccess -> Sicher oder unsicher - was er kann, und was nicht

Hallo!

Es passierte mir schon öfter,
dass google Internet-Seiten von einer Domain ausgelesen hat,
also  foo.html  und bar.html  (als Beispiel)
obwohl von der "index.html" (Startseite) eine leere Seite war
und KEIN Link zu foo.html oder bar.html ging.

Auch sonst erwaehnte ich auf keiner Seite foo.html und bar.html und
sagte den URL auch keinem.

Dennoch fand google die Seiten und listete sie
in den Suchergebnissen auf (Das passierte tatsaechlich schon oft)

Das ist mal Teil 1) der Frage: => Wie geht das??

--

Die 2. Frage (Das ist die WICHTIGSTE Frage!)

Wie sicher ist  .htaccess dahingehend?
Hat man iiiiiirgendeine Möglichkeit vom Web aus an Daten
zu gelangen die in einem .htaccess Passwort-Geschützten Verzeichnis liegen?

Also sagen wir als Beispiel   http://www.***.com/geheim/
enthaelt eine Datei namens "meine_passwoerter.txt"
wo ich alle meine super-wichtigen Passwörter drinnen habe.

Und das verzeichnis /geheim/ schütze ich mit .htaccess
Wie kann man dennoch an die "meine_passwoerter.txt" kommen?

Die 3. Frage

Angenommen ich würde ein PHP Script machen,
mit dem ich in "meine_passwoerter.txt"  via PHP Script
ein neues Passwort hinzufügen kann,
und das würde ebenfalls im /geheim/ ordner liegen der mit .htaccess
geschützt ist,  und die übertragung waere mit dem PHP Script

z.B.   /geheim/neues_pw.php?pass=foobar&seite=bla.com

könnte man dann beim eintragen oder beim aufrufen der
Passwörter (falls ein PHP Script die ausließt oder beim
Eintragen die dann (als hacker) sehen obwohl das
Verzeichnis geschützt ist mit .htaccess?

Die Frage 4

Sollte man Scripte die im /geheim/ ordner sind
zusaetzlich nochmals Passwort schützen?
Dass also der User zuerst die Eingabe-Aufforderung bekommt
damit er mal fürs .htaccess alles ausfüllt,
und danach nochmals eine <FORM> action vom Script
vorfindet wo er sich nochmals einloggen muss,
oder ist .htaccess schon gleich sicher oder super sicher?

Vielen, vielen Dank,
Euer Aqua

PS.: Wie sicher ist .htaccess _überhaupt_ ?

  1. hi,

    Dennoch fand google die Seiten und listete sie
    in den Suchergebnissen auf (Das passierte tatsaechlich schon oft)

    das ist eigentlich unmöglich. die seite _muss_ irgendwo verlinkt (oder explizit manuell angemeldet) worden sein, damit ein SuMa-robot sie finden kann.

    aber vielleicht hast du ja von dieser seite aus andere, externe links aufgerufen? dann wandert der URL deiner seite in deren referrer-logs, und schon kann er um die welt gehen ...

    Wie sicher ist  .htaccess dahingehend?
    Hat man iiiiiirgendeine Möglichkeit vom Web aus an Daten
    zu gelangen die in einem .htaccess Passwort-Geschützten Verzeichnis liegen?

    ja - indem man das passwort (und den usernamen) bei der login-aufforderung eingibt.

    (nein, daneben existiert kein weg.)

    gruß,
    wahsaga

    --
    [ Hier könnte Ihre Werbung stehen! ]
    1. Hallo wahsaga!

      Und wenn ich im .htaccess geschützten Bereich bin und
      und von dort aus dann eine andere Seite aufrufe,
      dann ist ja meine Seite in einem Log,
      und dann könnte google ja auch das .htaccess geschützte Verzeichnis
      sehen oder?

      Danke!
      Aqua

      1. Hi,

        Und wenn ich im .htaccess geschützten Bereich bin und
        und von dort aus dann eine andere Seite aufrufe,
        dann ist ja meine Seite in einem Log,
        und dann könnte google ja auch das .htaccess geschützte Verzeichnis
        sehen oder?

        Nicht zwingend. Deine geschütze Seite muss nicht im Referrer stehen. Das kann vom Browser und der Art und Weise wie Du Deine Seite verlässt abhängen. (z.B. Link auf deiner Seite oder Eintippen einer URL in der Adresszeile des Browsers)

        Und wenn google sein Referrer-Log auswertet, könnten diese Dein geschützes Verzeichns ggf. sehen. Aber nicht darauf zugreifen, sonst wäre ja der Passwortschutz für die Katz!

        Danke!

        Bitte!

        Viele Grüße...

        Alex :)

        --

        Nachdenken hilft, Probleme zu lösen...

        1. Hallo Alexander!

          Und wenn google sein Referrer-Log auswertet, könnten diese Dein geschützes Verzeichns ggf. sehen. Aber nicht darauf zugreifen, sonst wäre ja der Passwortschutz für die Katz!

          Was meinst Du mit "sehen" ?
          Sehen dass es das Verzeichnis "geheim" gibt,
          oder sehen dass es im Verzeichnis "geheim" die Dateien
          "meine_passwoerter.txt" und "pass.php" gibt?

          Danke!
          Aqua

          1. hi,

            himmel, du stellst dich aber extrem begriffsstutzig an heute ...

            Was meinst Du mit "sehen" ?
            Sehen dass es das Verzeichnis "geheim" gibt,
            oder sehen dass es im Verzeichnis "geheim" die Dateien
            "meine_passwoerter.txt" und "pass.php" gibt?

            der googlebot greift ebenso wie jeder browser über HTTP auf deine seiten zu, also kann er wie ein browser auch nur dann an die geschützten dateien herankommen, wenn er dem server die login-daten mitteilt, andernfalls rückt der server die datei ja nicht raus, sondern sagt nur "ätsch-bätsch, verboten".

            also, was meinst du - kennt der googlebot deine login-daten ...?

            gruß,
            wahsaga

            --
            [ Hier könnte Ihre Werbung stehen! ]
            1. Hallo wahsaga!

              also, was meinst du - kennt der googlebot deine login-daten ...?

              ok das bringt uns auf noch was interessantes:
              Wie leicht ist .htaccess hackbar?

              Also wenn man z.B. ein Script drauf los laesst das
              wilde kombinationen von Usernamen und passwörtern durchprobiert
              oder sonst irgendwas, was auch immer,
              wie leicht (egal mit welcher Methode) kann man den .htaccess Schutz hacken?

              Danke!
              Aqua

              1. Moin,

                ok das bringt uns auf noch was interessantes:
                Wie leicht ist .htaccess hackbar?

                Zum x-ten mal: Eine .htaccess ist lediglich eine Möglichkeit die Serverkonfiguration zu beeinflussen. Das hat über. ber. haupt. nichts. mit irgendwelcher Sicherheit zu tun. Für die Zugriffskontrolle sorgt HTTP Authentication (die man rein zufällig über die Serverkonfiguration konfigurieren kann). (Um die Frage zu beantworten: Eine .htaccess kann man sich eigentlich relativ leicht hacken, aber das Wort bedeutet etwas anderes als du vielleicht denkst.)

                Zu HTTP Authentication und der Sicherheit davon findest du ungefähr über 200 Treffer im Archiv, und über eine Million bei Google.

                --
                Henryk Plötz
                Grüße aus Berlin
                ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
                ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
                1. Hmm wohl ein beweis dafür das google nicht unbedingt
                  für qualität steht ;)

          2. Hi,

            Was meinst Du mit "sehen" ?
            Sehen dass es das Verzeichnis "geheim" gibt,
            oder sehen dass es im Verzeichnis "geheim" die Dateien
            "meine_passwoerter.txt" und "pass.php" gibt?

            wahsaga hat's dir ja an sich schon erklärt. ich will das nur noch kurz ergänzen: Wenn in deinem Referrer steht, dass du von /geheim/passwoerter.txt kommst, weiss google auch, dass es eine Datei passworter.txt gibt. Klar soweit?

            Google kann aber nicht auf die passwoerter.txt zugreifen, weil Google eben keine Zugangsdaten hat. Mensch Aqua, denk mal nach!

            Viele Grüße...

            Alex :)