nicht angemeldet
.htaccess-Datei: Sicherheit und robots
Hallo zusammen,
ich habe eine Seite bei Strato, die nur von berechtigten Personen angesehen werden soll.
Alle Dateien liegen im geschützten Verzeichnis. Ein Link von einer offenen Seite führt dazu. Ich habe in das geschützte Verzeichnis eine .htaccess-Datei mit "... require user nutzer1 nutzer2 ..." eingestellt, darüberhinaus in das root-Verzeichnis (also eine Ebene über dem geschützen Verzeichnis) eine Datei .htpasswd mit den entsprechenden, md5-gekrypteten Passwörtern. Es funktioniert beim Testen alles wie gewünscht.
Ist dieses Verzeichnis nun mit vernünftigem Aufwand gegen "normale" Anwender geschützt? Gibt es noch bestimmte Lücken, die ich für einen sicheren Schutz schließen muß und die Anfänger gerne übersehen? Können robots diese Seiten finden?
Ich hoffe, Ihr könnt die Fragen beantworten, ohne die Seiten zu sehen. Ich will sie nämlich erst mal nicht bei google finden.
Danke für Eure Hilfe sagt paeonia
-
Hi,
Alle Dateien liegen im geschützten Verzeichnis. Ein Link von einer offenen Seite führt dazu. Ich habe in das geschützte Verzeichnis eine .htaccess-Datei mit "... require user nutzer1 nutzer2 ..." eingestellt, darüberhinaus in das root-Verzeichnis (also eine Ebene über dem geschützen Verzeichnis) eine Datei .htpasswd mit den entsprechenden, md5-gekrypteten Passwörtern. Es funktioniert beim Testen alles wie gewünscht.
Ist dieses Verzeichnis nun mit vernünftigem Aufwand gegen "normale" Anwender geschützt?
Erst mal theoretisch: Ja.
Gibt es noch bestimmte Lücken, die ich für einen sicheren Schutz schließen muß und die Anfänger gerne übersehen?
Basic Auth überträgt die Zugangsdaten im Klartext - Digest wäre vorzuziehen.
Können robots diese Seiten finden?
Überleg' bitte selbst - worüber greifen Robots zu? HTTP. Und welche Antwort erhalten sie da, wenn sie keine Zugangsdaten mitsenden ...?
MfG ChrisB
--
RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?-
Hi,
Basic Auth überträgt die Zugangsdaten im Klartext - Digest wäre vorzuziehen.
habe ich jetzt geändert.
Überleg' bitte selbst - worüber greifen Robots zu? HTTP. Und welche Antwort erhalten sie da, wenn sie keine Zugangsdaten mitsenden ...?
Ich habe mir das schon gedacht, ich wollte es nur noch von einem Profi hören. Manchmal denkt man ja auch falsch.
Grüße von paeonia
-
Hi,
Basic Auth überträgt die Zugangsdaten im Klartext - Digest wäre vorzuziehen.
Das habe ich geändert: genauer gesagt habe ich im Verzeichnis .htaccess im geschützten Verzeichnis den Eintrag "AuthType Basic" in "AuthType Digest" geändert. Ich hoffe, da war, was Du meintest. Danach hat die Authentifizierung allerdings nicht mehr funktioniert.
Liegt das ev. daran, daß in der Anleitung bei Strato steht, daß das Paßwort über "http://aspirine.org/htpasswd_en.html" gekrypted werden soll? Ich habe erst mal wieder Basic eingetragen.
In Selfhtml steht zum thema Webserver|htaccess|AuthType ->"Dabei werden Passwörter bereits in verschlüsselter Form abgefordert, allerdings beherrschen das nicht alle Browser".
Liegt es jetzt am browser (getestet mit FF368) oder an der "doppelten" Verschlüsselung, daß "AuthType Digest" nicht funktioniert?
Danke für Eure Hilfe!
Gruß von Paeonia
-
-
Hello,
ich habe eine Seite bei Strato, die nur von berechtigten Personen angesehen werden soll.
Alle Dateien liegen im geschützten Verzeichnis. Ein Link von einer offenen Seite führt dazu. Ich habe in das geschützte Verzeichnis eine .htaccess-Datei mit "... require user nutzer1 nutzer2 ..." eingestellt, darüberhinaus in das root-Verzeichnis (also eine Ebene über dem geschützen Verzeichnis) eine Datei .htpasswd mit den entsprechenden, md5-gekrypteten Passwörtern. Es funktioniert beim Testen alles wie gewünscht.
Ist dieses Verzeichnis nun mit vernünftigem Aufwand gegen "normale" Anwender geschützt? Gibt es noch bestimmte Lücken, die ich für einen sicheren Schutz schließen muß und die Anfänger gerne übersehen? Können robots diese Seiten finden?
Ob Lücken bestehen, kann man erst beantworten, wenn man weiß, wie dein übriges System aussieht. Wenn es z.B. möglich ist, dass User PHP oder andere Scriptsprachen benutzen dürfen auf deinem Server, dann können die die .htpasswd-Datei eventuell auslesen. Dann haben sie zwar immer noch kein Passwort im Klartext, aber schon einen gewissen Vorsprung, um die gehashten oder gecrypteten Passworte "zurückzuentwickeln" (meistens durch Tabellen).
Schliemmer wäre es noch, wenn durch Uploads oder Manipulation die .htpasswd-Datei geändert oder ausgetauscht werden könnte.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hi
Ob Lücken bestehen, kann man erst beantworten, wenn man weiß, wie dein übriges System aussieht. Wenn es z.B. möglich ist, dass User PHP oder andere Scriptsprachen benutzen dürfen auf deinem Server
Nicht daß ich wüßte oder bewußt die Strato-Einstellungen geändert hätte. Es ist eine einfache Seite nur zum Kucken. Die Besucher brauchen gar nichts dürfen außer kucken und links verfolgen.
Schliemmer wäre es noch, wenn durch Uploads oder Manipulation die .htpasswd-Datei geändert oder ausgetauscht werden könnte.
Es gibt einen FTP-Zugang von mir -> fertig.
Den Rest an Sicherheit habe ich an Strato delegiert.
Danke erst mal für Deine Rückmeldung
Gruß von Paeonia
-