Moin!

Wie sicher sind eigentlich durch .htaccess geschützte Verzeichnisse?

Der Mechanismus "HTTP-Authentifikation" (.htaccess ist für wesentlich mehr einsetzbar, als nur dafür) ist eigentlich als fehlerfrei funktionierend anzusehen. Schickt man eine korrekte Kombination von Benutzername und Passwort, erhält man Zugriff - in allen anderen Fällen erhält man keinen Zugriff.

Dabei ist aber natürlich Kenntnis über die Randbedingungen erforderlich. Und die bestehen beispielsweise darin, dass Benutzername und Passwort im schlechtesten (und leider häufigsten) Fall unverschlüsselt übertragen wird, was diese Information für eine bestimmte Art von Angriff, nämlich das Abhören, anfällig macht.

Ebenso sind zu schwache Passworte, die man durch Ausprobieren erraten kann, natürlich ein Problem. Das sind aber dann schon Aspekte, die über die reine Technik deutlich hinausgehen und entsprechend auch mit nicht-technischen Mitteln wie Social Engineering angegriffen werden könnten. Wenn sich beispielsweise der böse Ken mit der guten Barbie zum Essen verabredet und sie ihm dabei das Passwort verrät, hilft auch kein Superhochsicherheitsmechanismus.

Ich meine es ist klar dass ein Hacker überal reinkommt, aber wie sieht es aus mit normalsterblichen? z.B. die Konkurenz, wie einfach ist es für die in einen geschützten Bereich einer Web zu gelangen?

Du hast ja ein ziemliches Vertrauen in die Fähigkeiten von Hackern. :) Ich dagegen würde meinen, dass es absolut nicht selbstverständlich ist, dass ein Hacker überall reinkommt. Die Einfallstore von Hackerangriffen orientieren sich an den Angriffsmöglichkeiten, der Aufgabenstellung und der Nutzen/Aufwand-Relation.

Beispiel: Wenn es jemandem nur darum geht, einen Webserver aufzumachen, um irgendein Spam-Skript laufen zu lassen, wird derjenige sich vermutlich mit Google irgendein installiertes phpBB suchen und eine der diversen Sicherheitslücken dieser Software ausnutzen, um Zugriff zu erlangen.

Geht es hingegen darum, exakt DEINEN Server anzugreifen, wird man sich schon deutlich intensiver mit den installierten Skripten und eventuellen Sicherheitslücken befassen. Hast du kein phpBB, hätten alle derartigen Ansätze keinen Erfolg. Hast du überhaupt keine Skripte, haben sämtliche Suchen nach Sicherheitslücken in Skripten keinen Erfolg. Dann wird man sich, sofern der Aufwand das zu erwartende Ergebnis rechtfertigt, eventuell wie oben beschrieben, in "Social Engineering" versuchen, wenn es keine anderen Ansatzpunkte gibt, die man remote prüfen kann.

Ich finde es auch ziemlich witztig das ein durch .htaccess geschütztes Verzeichnis beim Loginbereich schon mal den Username offenlegt (geben Sie das Passwort für "Username" ein...)

Wenn das Passwort vernünftig gewählt ist, also allerallermindestens 8 Zeichen lang ist (je mehr, desto besser), mit vernünftig viel zufälligen Zeichen, die Buchstaben (groß und klein), Zahlen und Sonderzeichen umfassen sollten, und die kein Wort einer existierenden Sprache sind bzw. Namen darstellen, sollte die Sicherheit eines solchen Bereichs rein vom Passwort her absolut gewährleistet sein - sofern man das Passwort nicht z.B. abhören oder den Arbeitsplatz (mit den an den Bildschirm gehefteten Passwortzetteln) ausspionieren kann.

Gibt es eine sicherere Art als .htaccess um Verzeichnisse zu schützten?

Ich würde diese Methode allen anderen, die man sich eventuell selbst in einer Skriptsprache programmiert, vorziehen. Das hat drei Gründe:
1. Das Verfahren funktioniert sicher (wie gesagt: Randbedingungen sind zu beachten, Abhörsicherheit erhält man durch Einsatz von SSL)
2. Man muß sich nicht in absolut jeder Datei, die der Server ausliefern könnte, mit Authentifizierung herumschlagen (was z.B. in Bilddateien ja auch gar nicht geht).
3. Die Authentifizierung bzw. Ablehnung einer Falscheingabe wird vom Webserver erledigt, noch bevor irgendein Skript startet. Das spart Ressourcen und erhöht im Angriffsfall die Verfügbarkeit für normale User (auch wenn ein tatsächlicher DDoS-Angriff kaum abwehrbar ist, aber das ist ein anderes Thema)

- Sven Rautenberg