Hello,

ich habe eine Seite bei Strato, die nur von berechtigten Personen angesehen werden soll.

Alle Dateien liegen im geschützten Verzeichnis. Ein Link von einer offenen Seite führt dazu. Ich habe in das geschützte Verzeichnis eine .htaccess-Datei mit "... require user nutzer1 nutzer2 ..." eingestellt, darüberhinaus in das root-Verzeichnis (also eine Ebene über dem geschützen Verzeichnis) eine Datei .htpasswd mit den entsprechenden, md5-gekrypteten Passwörtern. Es funktioniert beim Testen alles wie gewünscht.

Ist dieses Verzeichnis nun mit vernünftigem Aufwand gegen "normale" Anwender geschützt? Gibt es noch bestimmte Lücken, die ich für einen sicheren Schutz schließen muß und die Anfänger gerne übersehen? Können robots diese Seiten finden?

Ob Lücken bestehen, kann man erst beantworten, wenn man weiß, wie dein übriges System aussieht. Wenn es z.B. möglich ist, dass User PHP oder andere Scriptsprachen benutzen dürfen auf deinem Server, dann können die die .htpasswd-Datei eventuell auslesen. Dann haben sie zwar immer noch kein Passwort im Klartext, aber schon einen gewissen Vorsprung, um die gehashten oder gecrypteten Passworte "zurückzuentwickeln" (meistens durch Tabellen).

Schliemmer wäre es noch, wenn durch Uploads oder Manipulation die .htpasswd-Datei geändert oder ausgetauscht werden könnte.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg