Seite 1 von 1
Wie sicher ist eigentlich eine .htaccess
Verfasst: 30.11.2010 21:40
von Tetischere
Hallo zusammen
was ich mich schon immer gefragt habe, wie sicher ist eigentlich so ein ".htaccess" geschütztes Verzeichnis?
Ja, ich weiß sicher ist relativ, aber kommt man da mit einfachen Mitteln rein? (Ich wollte jetzt keine Anleitung wie man das macht!
)
Gruß Michael
Re: Wie sicher ist eigentlich eine .htaccess
Verfasst: 30.11.2010 22:01
von Mahony
Hallo
kommt man da mit einfachen Mitteln rein?
Nein, es sei denn es wurde ein schwaches Password verwendet und dieses wurde zum Beispiel erraten.
Grüße: Mahony
Re: Wie sicher ist eigentlich eine .htaccess
Verfasst: 01.12.2010 01:39
von cYbercOsmOnauT
Oder man war so dumm und hat die passwd Datei ausserhalb des geschützten Verzeichnisses gelegt und ohne .ht beginnen lassen. Beim Schutz muss man zwar die .htaccess zwingend so nennen damit Apache weiß, dass hier "Kommandos" übergeben werden, die Passwortdatei jedoch kann sein und lauten wo sie will auf dem Server.
Kaum jemand ist so dumm die Passwd nach aussen zu legen? Manchmal nutzt man eine einzige Passwd um mehrere verteilte Verzeichnisse zu schützen. Wenn man dann nicht aufpasst und das Verzeichnis in dem die Passwd drin ist öffnet wäre ein Zugriff möglich. Jedoch schiebt hier Apache im Regelfall einen Riegel vor indem es den externen Zugriff auf alle Dateien die mit .ht beginnen sperrt.
Grüße,
Tekin
Re: Wie sicher ist eigentlich eine .htaccess
Verfasst: 01.12.2010 08:16
von Tetischere
Das hört sich doch alles sehr gut an, ein Kollege hatte mir vor ein paar Jahren mal gesagt, das diese Methode sehr unsicher wäre und da das phpBB-Verzeichnis ja so aufgebaut ist hab ich mir schon meine Gedanken gemacht, das nichts wirklich sicher ist, ist mir klar. Aber das sollte für 08/15 Hacker vollkommen ausreichen.
Gruß Michael
Re: Wie sicher ist eigentlich eine .htaccess
Verfasst: 01.12.2010 18:23
von gn#36
Einziges Problem an der Geschichte: Die Zugangsdaten werden bei der häufigsten Authentifizierungsmethode "Basic" unverschlüsselt übertragen, d.h. wenn jemand die Verbindung abhört bekommt er das Passwort raus, und zwar völlig egal ob er beim ersten Seitenaufbau lauscht oder erst nach einer Stunde, denn die Zugangsdaten werden bei jedem Seitenaufruf übertragen. Der einzige Kontext, in dem "Basic" HTTP Authentication sicher ist, ist bei gleichzeitiger Verwendung von ssl, denn dann sorgt ssl für die Verschlüsselung der Übertragung - inklusive der Zugangsdaten.
Wenn du also Sicherheit willst, solltest du stattdessen "Digest" wählen. Das hat stattdessen das Problem, dass veraltete Browser es nicht unterstützen, aber dafür ist es wenigstens etwas sicherer (natürlich kann man immer noch die übertragenen Daten mitschneiden.
Re: Wie sicher ist eigentlich eine .htaccess
Verfasst: 01.12.2010 23:51
von Tetischere
Und wieder ein wenig schlauer
Danke für die Erklärungen!
Gruß Michael