Christian Kruse: Erläuterung zu: Einer Framework-basierten Lösung wegen einem Log-In-Bereich

Beitrag lesen

Hallo TS,

Der "htaccess-Schutz" ist die einfachste Lösung, den Zugriff auf Ressourcen zu regeln. Er setzt aber, um eine hinreichende Sicherheit zu gewährleisten, auch TLS (also HTTPs) voraus. Immer, wenn Passworte, Tokens (temporäre Zugriffsschlüssel), persönliche und oder empfindliche Daten transportiert werden sollen, sollte Verschlüsselung benutzt werden.

Nur nebenbei: das gilt auch für Sessions. Sonst schnappt sich ein Angreifer einfach das Session-Cookie.

LG,
CK