Fragen zu allen Themen rund ums Programmieren außerhalb von phpBB können hier gestellt werden - auch zu anderen Programmiersprachen oder Software wie Webservern und Editoren.
Hallo zusammen
was ich mich schon immer gefragt habe, wie sicher ist eigentlich so ein ".htaccess" geschütztes Verzeichnis?
Ja, ich weiß sicher ist relativ, aber kommt man da mit einfachen Mitteln rein? (Ich wollte jetzt keine Anleitung wie man das macht! )
Gruß Michael
Gruß Michael
Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt. Albert Einstein
Oder man war so dumm und hat die passwd Datei ausserhalb des geschützten Verzeichnisses gelegt und ohne .ht beginnen lassen. Beim Schutz muss man zwar die .htaccess zwingend so nennen damit Apache weiß, dass hier "Kommandos" übergeben werden, die Passwortdatei jedoch kann sein und lauten wo sie will auf dem Server.
Kaum jemand ist so dumm die Passwd nach aussen zu legen? Manchmal nutzt man eine einzige Passwd um mehrere verteilte Verzeichnisse zu schützen. Wenn man dann nicht aufpasst und das Verzeichnis in dem die Passwd drin ist öffnet wäre ein Zugriff möglich. Jedoch schiebt hier Apache im Regelfall einen Riegel vor indem es den externen Zugriff auf alle Dateien die mit .ht beginnen sperrt.
Das hört sich doch alles sehr gut an, ein Kollege hatte mir vor ein paar Jahren mal gesagt, das diese Methode sehr unsicher wäre und da das phpBB-Verzeichnis ja so aufgebaut ist hab ich mir schon meine Gedanken gemacht, das nichts wirklich sicher ist, ist mir klar. Aber das sollte für 08/15 Hacker vollkommen ausreichen.
Gruß Michael
Gruß Michael
Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt. Albert Einstein
Einziges Problem an der Geschichte: Die Zugangsdaten werden bei der häufigsten Authentifizierungsmethode "Basic" unverschlüsselt übertragen, d.h. wenn jemand die Verbindung abhört bekommt er das Passwort raus, und zwar völlig egal ob er beim ersten Seitenaufbau lauscht oder erst nach einer Stunde, denn die Zugangsdaten werden bei jedem Seitenaufruf übertragen. Der einzige Kontext, in dem "Basic" HTTP Authentication sicher ist, ist bei gleichzeitiger Verwendung von ssl, denn dann sorgt ssl für die Verschlüsselung der Übertragung - inklusive der Zugangsdaten.
Wenn du also Sicherheit willst, solltest du stattdessen "Digest" wählen. Das hat stattdessen das Problem, dass veraltete Browser es nicht unterstützen, aber dafür ist es wenigstens etwas sicherer (natürlich kann man immer noch die übertragenen Daten mitschneiden.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
)
