wie sicher sind geschützte Verzeichnisse?
0 0 0 0 0 0 
Der Martin
0 0 0 Der Martin
1
0
1 
Felix Riesterer
0 0 5 1
wie sicher sind geschützte Verzeichnisse?
Hallo
Wie sicher sind eigentlich durch .htaccess geschützte Verzeichnisse?
Ich meine es ist klar dass ein Hacker überal reinkommt, aber wie sieht es aus mit normalsterblichen? z.B. die Konkurenz, wie einfach ist es für die in einen geschützten Bereich einer Web zu gelangen?
Ich finde es auch ziemlich witztig das ein durch .htaccess geschütztes Verzeichnis beim Loginbereich schon mal den Username offenlegt (geben Sie das Passwort für "Username" ein...)
Gibt es eine sicherere Art als .htaccess um Verzeichnisse zu schützten?
Es grüsst
Barbi
-
Hi,
Gibt es eine sicherere Art als .htaccess um Verzeichnisse zu schützten?
ich glaube nicht, denn es gibt "in der IT" keinen Komparativ fuer sicher. ;-)
Gruss,
Ludger-
Hello,
Gibt es eine sicherere Art als .htaccess um Verzeichnisse zu schützten?
ich glaube nicht, denn es gibt "in der IT" keinen Komparativ fuer sicher. ;-)
... na dann eben "weniger oder mehr obskur" ;-))
Das ist doch eins von Sven R's Lieblingsthemen. Schaun wir mal, ob er mitliest.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hallo,
... na dann eben "weniger oder mehr obskur" ;-))
"Obskur" ist ein vieldeutiges Wort, aber "sicher" heisst es sicher (;-)) nicht. Oder spielst du auf "Security through obscurity" an?
Gruß,
Severin--
They that can give up essential liberty to obtain a little temporary safty deserve neither liberty nor safty.
-- Benjamin Franklin-
Hello,
"Obskur" ist ein vieldeutiges Wort, aber "sicher" heisst es sicher (;-)) nicht. Oder spielst du auf "Security through obscurity" an?
Ja! Was denn sonst?
Aber jedes passive System ist mMn nur "sicher durch Verdeckung", denn wenn man die Passwörter und Usernamen öffentlich bekanngeben würde, wäre es mit der Sicherheit dahin, selbst wenn man keine Paarungen, sondern nur einzelne Argumente der Paare veröffentlichte. In der Praxis ist die Anzahl der tatsächlich existierenden Paarungen schließlich sehr wesentlich kleiner, als die Anzahl der möglichen Paarungen.
Und wenn jetzt das Sicherheitssystem nicht aktiv ist, sondern nur passiv (statisch) dann hat man eine passende Paarung sehr schnell gefunden.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hallo Leute!
Hier Barbi....
Also selbstverständlich gebe ich meine Passwort und Username weder Kent noch sonst irgendwelchen Ex oder nicht Ex bekannt! FTP zugriff hab einzig und allein ich.
Was meine Frage eigentlich auslöst ist die Tatsache dass ich in meiner webstatisik im letzten Monate 23 Zugriffe in diesen Bereich hatte. Einige davon sind gewiss von mir selber, hab den bereich auch upgedatet, aber ich kann mir nur schwer vorstellen dass ich das selber 23 Mal war. Daher frage ich mich, wenn jemand in einer Suchmaschinen eine sich im geschützten Bereich befindliche Seite findet ob er da nicht irgendwie durch eine Hintertür da doch reinkommt...?@Felix, das mit dem AuthName: ich versteh nicht recht, ich muss den ja eingeben, er erscheint dann von alleine im Loginfenster, das kann ich ja nicht beinflussen....oder?
Access file
order allow,deny
allow from all
AuthName "meine private Geheimkammer"
AuthPAM_Enabled off
AuthType Basic
AuthUserFile /home/sites/www.schatztruhe.com/web/intern/.htpasswd
require valid-userWenn sich nun jemand versucht in diesen Bereich einzuloggen dann steh t da: Geben Sie Benutzername und Passwort für "meine private Geheimkammer" ein
Benutzername:
Passwort:dass meine ich mit dem Irrsinn. ich wüsste nicht wie ich das anders machen könnte.
Auf jedenfall sehe ich (zusammenfassend) dass es offenbar nicht wirklich einfach ist da reinzukommen.... also es gibt da nicht einen allen surfern bekannten Trick nr.77 um das Loginfenster zu umgehen. ich denke auch nicht dass ich sooooo interessant bin für meine konkurenz dass die 1000ende von Euros ausgeben würden um nun in meinen privaten bereich zu kommen...
Herzlichen Dank an alle
Barbi
-
Hallo,
@Felix, das mit dem AuthName: ich versteh nicht recht, ich muss den ja eingeben, er erscheint dann von alleine im Loginfenster, das kann ich ja nicht beinflussen....oder?
Nein, aber _das_ muss ja auch sein: Ich will als User doch auch sehen, bei wem bzw. in welchen Bereich ich mich gerade einlogge. Die Bezeichnung "meine private Geheimkammer" gibt mir ja noch keine Auskunft darüber, welchen Benutzernamen oder welches Passwort der Server nun von mir wissen will. Nach deiner ersten Beschreibung haben wir gedacht, bei dir stünde der _Benutzername_ schon im Formular eingetragen. Dann wäre auch einzusehen, dass dir das nicht passt.
AuthName "meine private Geheimkammer"
Das ist schon okay so. Ob da nun "meine private Geheimkammer" steht oder "Members Only", oder "Hochsicherheitstrakt", das ist ja mal egal.
Auf jedenfall sehe ich (zusammenfassend) dass es offenbar nicht wirklich einfach ist da reinzukommen... also es gibt da nicht einen allen surfern bekannten Trick nr.77 um das Loginfenster zu umgehen.
Nö.
ich denke auch nicht dass ich sooooo interessant bin für meine konkurenz dass die 1000ende von Euros ausgeben würden um nun in meinen privaten bereich zu kommen...
;-)
Ciao,
Martin
-
... Server nun von mir wissen will. Nach deiner ersten Beschreibung haben wir gedacht, bei dir stünde der _Benutzername_ schon im Formular eingetragen. Dann wäre auch einzusehen, dass dir das nicht passt.
AuthName "meine private Geheimkammer"
Ja das tut er doch eben! der Benutzername steht in der Tat schon da:
(nicht im Formular, wohl aber im Loginfenster)Geben Sie Benutzername und Passwort für "meine private Geheimkammer" ein. Der Benutzername ist ja in der Tat "meine private Geheimkammer"!
also wird der Einlogger bei
Benutzername: "meine private Geheimkammer" eingeben
und bei Passwort: *******Das ist ja der Punkt!
unter AuthName habe ich ja "meine private Geheimkammer" eingebeben.
Es wäre ja alles OK würde da nur stehen "Geben Benutzername und Passwort ein"
Mensch! was hab ich da blos falsch gemacht?
Das hab ich editiert und ins verzeichnis geladen:
Access file
order allow,deny
allow from all
AuthName "meine private Geheimkammer"
AuthPAM_Enabled off
AuthType Basic
AuthUserFile /home/sites/www.schatztruhe.com/web/intern/.htpasswd
require valid-userim Eingabeaufforderungsfenster hab ich schliesslich das passwort festgelegt und auch ins Verzeichnis geladen und dann alles per FTP hochgeladen...
wenn ich mich nun einloggen will erscheint ein graues Fenster mit der oben beschriebenen Aufforderung Benutzername und Passwort einzugeben...
-
Hi,
Geben Sie Benutzername und Passwort für "meine private Geheimkammer" ein. Der Benutzername ist ja in der Tat "meine private Geheimkammer"!
Tja, dann ist es Deine eigene Schuld, warum machst Du sowas auch?
Mensch! was hab ich da blos falsch gemacht?
Du hast die Bezeichnung für den Bereich und den Benutzernamen identisch.
Das hab ich editiert und ins verzeichnis geladen:
Access file
order allow,deny
allow from all
AuthName "meine private Geheimkammer"
AuthPAM_Enabled off
AuthType Basic
AuthUserFile /home/sites/www.schatztruhe.com/web/intern/.htpasswd
require valid-userJa, das ist ja auch alles korrekt. "AuthType Basic" ist jedoch das Minimalpaket, "AuthType Digest" wäre etwas empfehlenswerter.
im Eingabeaufforderungsfenster hab ich schliesslich das passwort festgelegt und auch ins Verzeichnis geladen und dann alles per FTP hochgeladen...
(Was für ein Eingabeaufforderungsfenster?)
Du hast nur ein Paßwort festgelegt, für welchen Benutzer denn? "meine private Geheimkammer"? Oder doch eher für "Kalle", "Toniella" oder "Stinkstiefel"?wenn ich mich nun einloggen will erscheint ein graues Fenster mit der oben beschriebenen Aufforderung Benutzername und Passwort einzugeben...
Ja, so ist das halt bei der von Dir gewählten Methode.
so short
Christoph Zurnieden
-
Hallo,
Geben Sie Benutzername und Passwort für "meine private Geheimkammer" ein. Der Benutzername ist ja in der Tat "meine private Geheimkammer"!
das ist natürlich purer Leichtsinn! Der Benutzername (bzw. einer der möglichen Benutzernamen) sollte natürlich nicht aus dem Bereichsnamen zu erraten sein!
Nochmal dein Auszug aus der Konfigurationsdatei:
Access file
order allow,deny
allow from all
AuthName "meine private Geheimkammer"
AuthPAM_Enabled off
AuthType Basic
AuthUserFile /home/sites/www.schatztruhe.com/web/intern/.htpasswd
require valid-userDas, was du unter AuthName angibst, also der Name des geschützten Bereichs, sollte keinen Rückschluss auf die möglichen Benutzernamen zulassen, die ja ihrerseits wiederum in .htpasswd gespeichert sind. Lass dich hier nicht durcheinanderbringen!
also wird der Einlogger bei Benutzername: "meine private Geheimkammer" eingeben
Auf die Idee würde ich nicht kommen, ehrlich.
unter AuthName habe ich ja "meine private Geheimkammer" eingebeben.
Dann ändere das doch da. Das ist die Stelle, wo es am einfachsten ist.
So long,Martin
-
Moin!
AuthName "meine private Geheimkammer"
Ja das tut er doch eben! der Benutzername steht in der Tat schon da:
(nicht im Formular, wohl aber im Loginfenster)Geben Sie Benutzername und Passwort für "meine private Geheimkammer" ein. Der Benutzername ist ja in der Tat "meine private Geheimkammer"!
also wird der Einlogger bei
Benutzername: "meine private Geheimkammer" eingeben
und bei Passwort: *******Das ist ja der Punkt!
unter AuthName habe ich ja "meine private Geheimkammer" eingebeben.
Aber warum? Wenn du da einfach "Zauberwerkstatt" hinter AuthName eingeben würdest, würde sich am Login absolut nichts ändern (dein Benutzername "meine private Geheimkammer" und dein Passwort würden weiterhin problemlos funktionieren), und das Loginfenster würde "Geben Sie Benutzername und Passwort für 'Zauberwerkstatt' ein" fordern.
AuthName hat nichts mit eventuellen Benutzernamen oder Passworten zu tun. Es ist ein beliebiger Bezeichner für den zu betretenden Anmeldebereich, der in den allermeisten Fällen absolut überflüssig ist, weil ihn sowieso niemand beachtet. Und unabhängig von diesem Bezeichner kann man problemlos beliebige und zahlenmäßig unbegrenzte Benutzernamen mit Passwort anlegen - die können dann natürlich nicht alle so heißen, wie der Bezeichner bei AuthName - weswegen es schon logisch ist, dass Benutzername und AuthName technisch nichts miteinander zu tun haben können - aber man natürlich beide identisch vergeben könnte, wenn man sich "schlau" anstellt. ;)
- Sven Rautenberg
-
-
-
-
Hi,
"Obskur" ist ein vieldeutiges Wort, aber "sicher" heisst es sicher (;-)) nicht. Oder spielst du auf "Security through obscurity" an?
Ja! Was denn sonst?
Aber jedes passive System ist mMn nur "sicher durch Verdeckung", denn wenn man die Passwörter und Usernamen öffentlich bekanngeben würde, wäre es mit der Sicherheit dahin, selbst wenn man keine Paarungen, sondern nur einzelne Argumente der Paare veröffentlichte.
Das ist nicht ganz korrekt. So kann z.B. rein theoretisch jeder das Rootpaßwort der von mir installierten Webserver haben, denn root ist nur an der Maschine selbst erreichbar und so ein Serverraum ist normalerweise gut zu verteidigen ;-)
Noch besser wäre es natürlich wenn es kein root mehr gibt, aber dann ist die Kiste recht unflexibel, was das Aufspielen evt dringender Sicherheitsupdates angeht.Aber Du hast natürlich Recht, damit wäre auch nur das Problem root erschlagen, das Problem der Benutzer bleibt bestehen. Aber man kann ja heutzutage kein VAX mehr mit VMS in den Serverraum stellen, da kann kein Sysadmin mehr mit umgehen und auch die Benutzer würden sich herzlich bedanken. (Wenn jemand die Windows-NT Rechteverwaltung gut kennen sollte: das ist VMS extra light ;-)
In der Praxis ist die Anzahl der tatsächlich existierenden Paarungen schließlich sehr wesentlich kleiner, als die Anzahl der möglichen Paarungen.
Und wenn jetzt das Sicherheitssystem nicht aktiv ist, sondern nur passiv (statisch) dann hat man eine passende Paarung sehr schnell gefunden.
Auch das ist nicht ganz korrekt. Wenn Username und Schlüssel etwas länger sind als das übliche "karlheinz/asD51?#k" und zwar so um die 4 kib, dann ist "sehr schnell" auch auf dem http://edition.cnn.com/2005/TECH/07/25/japan.supercomputer.ap/ ziemlich relativ, was? ;-)
Eine andere Methode wäre es die Dauer der Gültigkeit zu begrenzen (one-time-pads et. al.), aber das wäre dann rein theoretisch schon wieder aktiv, das ist wohl wahr.so short
Christoph Zurnieden
-
-
-
-
-
Liebe(r) Barbi,
Wie sicher sind eigentlich durch .htaccess geschützte Verzeichnisse?
So sicher, wie die Geheimhaltung ihrer Username/Password-Kombinationen.
Ich finde es auch ziemlich witztig das ein durch .htaccess geschütztes Verzeichnis beim Loginbereich schon mal den Username offenlegt (geben Sie das Passwort für "Username" ein...)
Das ist DEIN Fehler! Wenn in Deiner .htaccess als AuthName ein echter Username angegeben wird, so ist das sinnbefreit. Es sollte als AuthName eher eine Bezeichnung des geschützten Bereichs definiert werden, wie z.B.
AuthName "meine private Geheimkammer"
oder so ähnlich!Liebe Grüße aus Ellwangen,
Felix Riesterer.
-
Hello,
Wie sicher sind eigentlich durch .htaccess geschützte Verzeichnisse?
Das kommt immer auf das Protokoll an, mit dem man zugreift.
Da der Apache mMn im Vergleich zu anderen Websewrvern sehr sicher ist, dürfte es schwer sein, mit HTTP in ein "geschütztes Verzeichnis" hineinzugucken. Brute Force mal unberücksichtigt gelassen.Ich meine es ist klar dass ein Hacker überal reinkommt,
Das kommt doch auch auf den Programmierer der Seite und den Server-Admin an.
aber wie sieht es aus mit normalsterblichen? z.B. die Konkurenz, wie einfach ist es für die in einen geschützten Bereich einer Web zu gelangen?
Ich würde im Web keine geheimen Dinge ablegen. Der NSI ist überall... Allerdings haben die in der Vergangenheit schon oft unter Beweis gestellt, dass sie nicht die besten Leute haben *gg*
Die Leute aus Pakistan _sind_ besser.Ich finde es auch ziemlich witztig das ein durch .htaccess geschütztes Verzeichnis beim Loginbereich schon mal den Username offenlegt (geben Sie das Passwort für "Username" ein...)
Das wird doch wohl nur an Deinem Browsaer liegen und dass der sich den Namen gemerkt hat.
Gibt es eine sicherere Art als .htaccess um Verzeichnisse zu schützten?
Ja, gar nicht erst auf Medien, die über Netze erreichbar sind, abspeichern.
Mal ernsthaft:
Die Browsertechnologie als solche ist hier die Schwachstelle. Es handelt sich um ein Frintend-Programm, dass in der hauptsache von einer der mächtigsten (Software-)Firmen der Welt verbreitet wird und/oder auf Betriebssystemen dieser "Firma" läuft. Was das alles noch unentdecktes macht, mag ich mir kaum vorstellen.Aber auch Lotus Notes Clients, die gewiss für "Otto Normal" schon viel mehr Sicherheit bieten, haben Lücken. Allerdings wird hier nichts mehr unverschlüsselt übertragen.
Der .htaccess-Schutz bezieht sich nur auf HTTP-Zugriffe.
Wenn Du also auf einem 'normal' eingerichteten Server hostest, der von mehreren Kunden genutzt wird, dann sind meistens Lücken für Querzugriffe vorhanden. Allerdings sind viele Provider im letzten Jahr schon sehr viel besser geworden. Die lesen wohl hier mit *gg*Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hi,
Wie sicher sind eigentlich durch .htaccess geschützte Verzeichnisse?
Das hängt von so vielen Faktoren ab -- wovon Du einige ja schon kennengelernt hast, aber das ist nur die Spitze des Eisbergs -- das kann man nur durch Untersuchung der vollständigen Umgebung feststellen.
So herum ist Deine Frage also schonmal nicht zu beantworten.
Ich meine es ist klar dass ein Hacker überal reinkommt, aber wie sieht es aus mit normalsterblichen?
Aufgrund der Verbreitungsmöglichkeiten des Internets sind die ehemaligen Unterschiede zwischen einem professionellem Einbrecher und Otto Skriptkiddie stark verwischt.
z.B. die Konkurenz, wie einfach ist es für die in einen geschützten Bereich einer Web zu gelangen?
Das kommt auf die finanzielle Ausstattung des Versuches an und _nur_ darauf.
Ich finde es auch ziemlich witztig das ein durch .htaccess geschütztes Verzeichnis beim Loginbereich schon mal den Username offenlegt (geben Sie das Passwort für "Username" ein...)
Das ist wahrscheinlich, wie anderweitig schon vermutet eine Browsereinstellung.
Gibt es eine sicherere Art als .htaccess um Verzeichnisse zu schützten?
Aufgrund meines Eingangsatzes wirft sich hier die Frage auf: sicherer als was?
Vielleicht wird es für Dich einfacher, wenn Du Dir klarmachst, das Du kein Verzeichnis schützen möchtest sondern die Daten darin. Diese Daten sollen nur einem begrenztem Personenkreis zugänglich sein. Die Daten gehen dabei über ein nichtkontrollierbares Netz und müssen deshalb auch auf dem Weg geschützt sein.
Der einfachste Weg Daten nur einem bestimmtem Personenkreis zugänglich zu machen ist die Verschlüsselung.
Je nach Bequemlichkeitsbedürfnis, Budget und Kosten des Datenverlustes können entweder bereits die Daten selber verschlüsselt werden, der Weg zwischen Server&Client (SSH), lediglich die Authentifizierung (z.B. Auth-Digest o.ä.) oder auch alles zusammen.so short
Christoph Zurnieden
-
Moin!
Wie sicher sind eigentlich durch .htaccess geschützte Verzeichnisse?
Der Mechanismus "HTTP-Authentifikation" (.htaccess ist für wesentlich mehr einsetzbar, als nur dafür) ist eigentlich als fehlerfrei funktionierend anzusehen. Schickt man eine korrekte Kombination von Benutzername und Passwort, erhält man Zugriff - in allen anderen Fällen erhält man keinen Zugriff.
Dabei ist aber natürlich Kenntnis über die Randbedingungen erforderlich. Und die bestehen beispielsweise darin, dass Benutzername und Passwort im schlechtesten (und leider häufigsten) Fall unverschlüsselt übertragen wird, was diese Information für eine bestimmte Art von Angriff, nämlich das Abhören, anfällig macht.
Ebenso sind zu schwache Passworte, die man durch Ausprobieren erraten kann, natürlich ein Problem. Das sind aber dann schon Aspekte, die über die reine Technik deutlich hinausgehen und entsprechend auch mit nicht-technischen Mitteln wie Social Engineering angegriffen werden könnten. Wenn sich beispielsweise der böse Ken mit der guten Barbie zum Essen verabredet und sie ihm dabei das Passwort verrät, hilft auch kein Superhochsicherheitsmechanismus.
Ich meine es ist klar dass ein Hacker überal reinkommt, aber wie sieht es aus mit normalsterblichen? z.B. die Konkurenz, wie einfach ist es für die in einen geschützten Bereich einer Web zu gelangen?
Du hast ja ein ziemliches Vertrauen in die Fähigkeiten von Hackern. :) Ich dagegen würde meinen, dass es absolut nicht selbstverständlich ist, dass ein Hacker überall reinkommt. Die Einfallstore von Hackerangriffen orientieren sich an den Angriffsmöglichkeiten, der Aufgabenstellung und der Nutzen/Aufwand-Relation.
Beispiel: Wenn es jemandem nur darum geht, einen Webserver aufzumachen, um irgendein Spam-Skript laufen zu lassen, wird derjenige sich vermutlich mit Google irgendein installiertes phpBB suchen und eine der diversen Sicherheitslücken dieser Software ausnutzen, um Zugriff zu erlangen.
Geht es hingegen darum, exakt DEINEN Server anzugreifen, wird man sich schon deutlich intensiver mit den installierten Skripten und eventuellen Sicherheitslücken befassen. Hast du kein phpBB, hätten alle derartigen Ansätze keinen Erfolg. Hast du überhaupt keine Skripte, haben sämtliche Suchen nach Sicherheitslücken in Skripten keinen Erfolg. Dann wird man sich, sofern der Aufwand das zu erwartende Ergebnis rechtfertigt, eventuell wie oben beschrieben, in "Social Engineering" versuchen, wenn es keine anderen Ansatzpunkte gibt, die man remote prüfen kann.
Ich finde es auch ziemlich witztig das ein durch .htaccess geschütztes Verzeichnis beim Loginbereich schon mal den Username offenlegt (geben Sie das Passwort für "Username" ein...)
Wenn das Passwort vernünftig gewählt ist, also allerallermindestens 8 Zeichen lang ist (je mehr, desto besser), mit vernünftig viel zufälligen Zeichen, die Buchstaben (groß und klein), Zahlen und Sonderzeichen umfassen sollten, und die kein Wort einer existierenden Sprache sind bzw. Namen darstellen, sollte die Sicherheit eines solchen Bereichs rein vom Passwort her absolut gewährleistet sein - sofern man das Passwort nicht z.B. abhören oder den Arbeitsplatz (mit den an den Bildschirm gehefteten Passwortzetteln) ausspionieren kann.
Gibt es eine sicherere Art als .htaccess um Verzeichnisse zu schützten?
Ich würde diese Methode allen anderen, die man sich eventuell selbst in einer Skriptsprache programmiert, vorziehen. Das hat drei Gründe:
1. Das Verfahren funktioniert sicher (wie gesagt: Randbedingungen sind zu beachten, Abhörsicherheit erhält man durch Einsatz von SSL)
2. Man muß sich nicht in absolut jeder Datei, die der Server ausliefern könnte, mit Authentifizierung herumschlagen (was z.B. in Bilddateien ja auch gar nicht geht).
3. Die Authentifizierung bzw. Ablehnung einer Falscheingabe wird vom Webserver erledigt, noch bevor irgendein Skript startet. Das spart Ressourcen und erhöht im Angriffsfall die Verfügbarkeit für normale User (auch wenn ein tatsächlicher DDoS-Angriff kaum abwehrbar ist, aber das ist ein anderes Thema)- Sven Rautenberg
-
G'Day Mate,
Wenn sich beispielsweise der böse Ken mit der guten Barbie zum Essen verabredet und sie ihm dabei das Passwort verrät
Das halte ich fuer unwahrscheinlich. Ihrem Ex wird Barbie bestimmt keine Geheimnisse verraten: Barbie dumps Ken for an Aussie. Wusstest Du das etwas nicht?
--
Later,
Armin -
hi,
Wenn das Passwort vernünftig gewählt ist, also allerallermindestens 8 Zeichen lang ist (je mehr, desto besser)
Sofern mit crypt verschlüsselt wird - beim Basic HTTP Auth des Apachen doch m.W. immer noch Standard - kannst du gerne 8+x Zeichen benutzen, mit x im Bereich von Null bis beliebig groß, ohne dadurch die Sicherheit zu erhöhen. Crypt nutzt schließlich nur die ersten acht Zeichen des zu "verschlüsselnden" Textes.
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Moin!
Sofern mit crypt verschlüsselt wird - beim Basic HTTP Auth des Apachen doch m.W. immer noch Standard - kannst du gerne 8+x Zeichen benutzen, mit x im Bereich von Null bis beliebig groß, ohne dadurch die Sicherheit zu erhöhen. Crypt nutzt schließlich nur die ersten acht Zeichen des zu "verschlüsselnden" Textes.
Die Passwörter der berechtigten Benutzer kann man, ohne auf Kompatibilitätsprobleme zu stoßen, für alle Architekturen (auch Windows) mit md5 verschlüsseln. Der Apache kann problemlos mit Mischungen aus Crypt und MD5 in der Passwortdatei umgehen, die Art der Verschlüsselung wird nicht zentral festgelegt, sondern ergibt sich aus dem gespeicherten Passworthash.
Crypt sollte aber in der Tat lieber auf den Sondermüll.
- Sven Rautenberg
-
-
Hi,
- Man muß sich nicht in absolut jeder Datei, die der Server ausliefern könnte, mit Authentifizierung herumschlagen (was z.B. in Bilddateien ja auch gar nicht geht).
why not?
Bilder in ein Verzeichnis oberhalb von htdocs, also wo man über HTTP an sich nicht rankommt, und ein PHP-Script, welches readfile() und header() verwenden kann (SafeMode müsste natürlich deaktiviert sein) (Alternative: Bilder in einer Datenbank), und dann halt seine PHP-Authentifizierung dazu...
Nicht dass so was sinnvoll wäre, aber machbar ist fast alles ;-)
E7
-
Moin!
- Man muß sich nicht in absolut jeder Datei, die der Server ausliefern könnte, mit Authentifizierung herumschlagen (was z.B. in Bilddateien ja auch gar nicht geht).
why not?
Weil es vielleicht zu nervig ist?
Bilder in ein Verzeichnis oberhalb von htdocs, also wo man über HTTP an sich nicht rankommt, und ein PHP-Script, welches readfile() und header() verwenden kann (SafeMode müsste natürlich deaktiviert sein) (Alternative: Bilder in einer Datenbank), und dann halt seine PHP-Authentifizierung dazu...
Kostet Performance, die man eventuell nicht bereit ist zu opfern, und erfordert natürlich auch entsprechende Gestaltungsmöglichkeiten auf dem Server.
Nicht dass so was sinnvoll wäre, aber machbar ist fast alles ;-)
Und wo ist jetzt der Widerspruch zu mir?
- Sven Rautenberg
-
-
Hi folks,
Wie sicher sind eigentlich durch .htaccess geschützte Verzeichnisse?
Ich weiss nicht ob dir das klar ist, aber mit .htaccess schützt du (mit einermaßen "anständigen" Passwörtern) lediglich das Verzeichnis/die darin befindlichen Daten vor einem unauthorisierten Zugriff per http/https.
Das bringt dir aber alls nichts, wenn du z.B. jedem deine FTP-Zugangsdaten gibst oder du - wie schon mehrfach erwähnt - nicht der einzige Benutzer des Servers bist und dein Hoster sich nicht um die "lokale" Sicherheit auf dem Server kümmert (Die Web-Verzeichnisse können von jedem der einen Account auf dem Server hat eingesehen werden etc. - und sowas kommt leider Gottes recht häufig vor - vor allem bei den Kleinhostern, da heutzutage jeder meint er kann Webhoster werden nachdem er ein Buch à la "Linuxkenntnisse in nur einer Stunde" gelesen hat, das Debian-Programm apt kennt und mit Confixx neue User anlegen und bestehende ändern kann).
Dann muss sich der Angreifer nur kurz nen Account auf selbigem Server besorgen oder sich mit deinem Passwort einloggen und schon isser drin.
Darum: Wenn es nicht sein muss stelle wichtige/vertrauliche Daten am besten gar nicht ins Netz.Ich meine es ist klar dass ein Hacker überal reinkommt (...)
Wer hat dir denn das erzählt?
Ein Hacker - bzw Cracker - kommt nicht überall rein.
Wenn wirklich alles korrekt abgesichert ist - was es aber extremst selten ist - hat auch der beste Hacker keine Chance.
Wenn keine Sicherheitslöcher da sind, Passwörter und ähnliches vertraulich behandelt werden und immer nur verschlüsselt übergeben werden usw. wird es übelst schwierig für den Guten ;-)Ich finde es auch ziemlich witztig das ein durch .htaccess geschütztes Verzeichnis beim Loginbereich schon mal den Username offenlegt (geben Sie das Passwort für "Username" ein...)
Wie schon von anderen gesagt vermute ich hier auch eine Merkfunktion deines Browsers.
Gibt es eine sicherere Art als .htaccess um Verzeichnisse zu schützten?
Per HTTP?
Nein.Greets - parse_error;
--
Dont ask to ask...
.oO(Ohne Parse_Errors waere das Leben doch langweilig)
SELFCode: ie:{ fl:{ br:< va:? ls:< fo:) rl:( n4:{ ss:} de:/ js:| ch:] sh:( mo:| zu:{-
Ahoi parse_error,
Ich meine es ist klar dass ein Hacker überal reinkommt (...)
Wer hat dir denn das erzählt?vermutlich ein intelligenter mensch?!
Ein Hacker - bzw Cracker - kommt nicht überall rein.
überall wo es nen weg rein giebt kommt man rein, egal wie.
Wenn wirklich alles korrekt abgesichert ist - was es aber extremst selten ist - hat auch der beste Hacker keine Chance.
das ist nichtnur selten sondern im web auch unmöglich.
Wenn keine Sicherheitslöcher da sind, Passwörter und ähnliches vertraulich behandelt werden und immer nur verschlüsselt übergeben werden usw. wird es übelst schwierig für den Guten ;-)
allein schon die tatsache das etwas erreichbar bar ist übers www ist
eine sicherheitslücke.MfG
-
Moin!
Ich meine es ist klar dass ein Hacker überal reinkommt (...)
Wer hat dir denn das erzählt?vermutlich ein intelligenter mensch?!
Würde es stimmen, warum hackt dann niemand Google, 1&1 oder deine Website?
Ein Hacker - bzw Cracker - kommt nicht überall rein.
überall wo es nen weg rein giebt kommt man rein, egal wie.
Genau die Frage "Wie?" ist das Problem. Wenn man nicht weiß, wie man reinkommt, kommt man nicht rein.
Wenn wirklich alles korrekt abgesichert ist - was es aber extremst selten ist - hat auch der beste Hacker keine Chance.
das ist nichtnur selten sondern im web auch unmöglich.
Du bist zu pessimistisch. Der kleinste Teil des Websoftware wurde von Microsoft erstellt, der große Rest ist durchaus als vertrauenswürdig anzusehen. :)
Wenn keine Sicherheitslöcher da sind, Passwörter und ähnliches vertraulich behandelt werden und immer nur verschlüsselt übergeben werden usw. wird es übelst schwierig für den Guten ;-)
allein schon die tatsache das etwas erreichbar bar ist übers www ist
eine sicherheitslücke.Nein.
- Sven Rautenberg
-
Ahoi Sven Rautenberg,
Würde es stimmen, warum hackt dann niemand Google, 1&1 oder deine Website?
vll. hats ja schon jmd gemacht, wer weiß?
Genau die Frage "Wie?" ist das Problem. Wenn man nicht weiß, wie man reinkommt, kommt man nicht rein.
wenns sein muss durch versuchen, also durchprobieren aller möglichen
zeichen und buchstaben kombinationen für pwd und username. je länger
die kürzesten sind desto schneller gehts. allerdings ist es trotzdem
sehr aufwendig. aber eine denkbare möglichkeit.Du bist zu pessimistisch.
ja und? besser wie total optimistisch und naiv nach dem Moto "mich hackt ja eh keiner"
Der kleinste Teil des Websoftware wurde von Microsoft erstellt, der große Rest ist durchaus als vertrauenswürdig anzusehen. :)
Naja, besser ist das.
allein schon die tatsache das etwas erreichbar bar ist übers www ist
eine sicherheitslücke.
Nein.<kleinkindmodus an>
doch
<kleinkindmodus aus>MfG
-
Moin!
Ahoi Sven Rautenberg,
Warum so förmlich? ;)
Würde es stimmen, warum hackt dann niemand Google, 1&1 oder deine Website?
vll. hats ja schon jmd gemacht, wer weiß?
Wenn sowas nicht auffallen würde, sollte man in der Tat die Sicherheits- und Kontrollmaßnahmen mal unter die Lupe nehmen.
Genau die Frage "Wie?" ist das Problem. Wenn man nicht weiß, wie man reinkommt, kommt man nicht rein.
wenns sein muss durch versuchen, also durchprobieren aller möglichen
zeichen und buchstaben kombinationen für pwd und username. je länger
die kürzesten sind desto schneller gehts. allerdings ist es trotzdem
sehr aufwendig. aber eine denkbare möglichkeit."Durchprobieren" kann länger dauern, als das Universum bereits besteht. Willst du wirklich so lange warten? Ein vernünftiger Hacker zieht solche Methoden nicht ernsthaft in Erwägung, auch weil das irgendwann auffällt.
Du bist zu pessimistisch.
ja und? besser wie total optimistisch und naiv nach dem Moto "mich hackt ja eh keiner"
Nein, ich würde es als "sinnlos pessimistisch" bezeichnen. Gegen Hacker sind Kräuter gewachsen.
<kleinkindmodus an>
doch
<kleinkindmodus aus>Nennst du das eine vernünftige Argumentation?
- Sven Rautenberg
-
Hallo Sven.
Nein, ich würde es als "sinnlos pessimistisch" bezeichnen. Gegen Hacker sind Kräuter gewachsen.
Eigenanbau? ;-)
Einen schönen Dienstag noch.
Gruß, Ashura
--
Selfcode: sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:) fl:( ss:) ls:[ js:|
30 Days to becoming an Opera8 Lover -- Day 21: Toolbars
Meine Browser: Opera 8.01 | Firefox 1.0.6 | Lynx 2.8.5 | Netscape 4.7 | IE 6.0
[Deshalb frei! - Argumente pro freie Software]
-
-
-
-
-