Hallo allerseits, nicht gerade SuSE-spezifisch, aber ich frage trotzdem mal das versammelte Expertenwissen der Liste hier an. Wie "sicher" sind Web-Seiten, welche in einem mit einer .htaccess Datei "geschützt" sind? D.h. konkret: - kann man ohne Wissen des Passwortes die Seiten ansehen? - welcher Aufwand ist dazu nötig? - Auf welche Fallstricke muß man achten, damit vermieden wird, daß Unberechtigte Zugriff auf die Seiten haben? - Gibt es etwas Besonderes bei dem 1&1 als Internet-Provider zu beachten? Und noch eine andere Frage: mit welchen Methoden, kann man sonst noch den Zugriff auf bestimmte Seiten nur Menschen mit einem Benutzernamen/Passwort ermöglichen? Bin für alle Hinweise dankbar. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@[informatik-vollmer.de|alumni.uni-karlsruhe.de|acm.org] www.informatik-vollmer.de
Hallo, Am Freitag, 30. April 2004 12:38 schrieb Dr. Jürgen Vollmer:
Hallo allerseits, [...] Und noch eine andere Frage: mit welchen Methoden, kann man sonst noch den Zugriff auf bestimmte Seiten nur Menschen mit einem Benutzernamen/Passwort ermöglichen?
Nun, du kannst das selbst in PHP realisieren. In der Startseite eine Session eröffnen und bei allen Referenzseiten auf die entsprechenden Variablen testen. Dabei IMHO dann aber besser ohne globale Variablen arbeiten (php 4.x). Bernd -- [Zufallssig 4] One OS to rule them all, one OS to find them. One OS to bring them all, and in the darkness bind them In the land of Redmond, where the shadows lie.
Hi!
Wie "sicher" sind Web-Seiten, welche in einem mit einer .htaccess Datei "gesch=FCtzt" sind?
kommt auf deinen provider/webserver an. wenn die authentifizierung nicht eingeschaltet ist, kann sie jeder sehen ;-)
- kann man ohne Wissen des Passwortes die Seiten ansehen? - welcher Aufwand ist dazu n=F6tig? - Auf welche Fallstricke mu=DF man achten, damit vermieden wird, da=DF Unberechtigte Zugriff auf die Seiten haben? - Gibt es etwas Besonderes bei dem 1&1 als Internet-Provider zu beachte= n?
-Prinzipiell ist es moeglich klartextpasswoerter abzufangen. -wenn der server richtig eingerichtet ist, ist .htaccess so sicher wie ein telnet. entsprechend hoch oder niedrig ist der aufwand -die rechte auf die dateien muessen in jedem fall richtig gesetzt werden, und die .htaccess sauber geschrieben. ach ja: die passworter und username sollten auch nicht erratbar sein. -1&1 kenne ich nicht aber grundsaetzlich sollte das vernuenftig gemacht sein. ein problem gibt es immer: wenn ein provider telnet/ssh zugang liefert /z.T. auf ftp), dann kann oft von einem verzeichnis ins naechste "gelunzt" werden, man also seiten anschauen ohne ueber den webserver zu gehen. dann ist essig mit schutz.
Und noch eine andere Frage: mit welchen Methoden, kann man sonst noch den=
CGI/perl. PHP. Du kannst recht einfach z.B. eine verschluesselte datei anlegen, die mit dem privaten schluessel eines anwenders abgelegt ist und dynamisch den namen der schluesseldatei generieren, mit der du die datei entschluesselst. d.h. bei einem falschen namen/passwort bekommt man trotzdem nur muell zu sehen. das geht in CGI recht gut. natuerlich sollten die schluesseldateien z.B. im CGI verzeichnis liegen oder jedenfalls dort wo man sie nicht sieht. ciao T
Dr. Jürgen Vollmer, Freitag, 30. April 2004 12:38:
Hallo allerseits,
nicht gerade SuSE-spezifisch, aber ich frage trotzdem mal das versammelte Expertenwissen der Liste hier an.
Wie "sicher" sind Web-Seiten, welche in einem mit einer .htaccess Datei "geschützt" sind?
Sehr sicher, wenn die .htaccess mit den entsprechenden Zugriffsrechten versehen ist *g*.
D.h. konkret: - kann man ohne Wissen des Passwortes die Seiten ansehen?
Nein.
- welcher Aufwand ist dazu nötig?
Man muss das Passwort in Erfahrung bringen. Der Aufwand hängt vom Passwort ab. Und/oder von der Art der Übertragung selbigen (z.B. https-Verbindung).
- Auf welche Fallstricke muß man achten, damit vermieden wird, daß Unberechtigte Zugriff auf die Seiten haben?
Siehe oben. Außerdem: Was ist auf der so versteckten Seite? Der Aufwand muss schon irgendwie ein lohnendes Ziel versprechen, sonst macht sich wohl kaum einer die Mühe, es zu knacken. Am besten ist es noch, wenn die betreffende Seite nirgends verlinkt ist. Oder zumindest der Link sehr gut versteckt (s.u.). Warum sollte dann jemand nach einer quasi nicht vorhandenen Seite suchen? Und wenn die Daten auf der Seite sooo brisant sind, dann gehören sie nicht auf eine Webseite.
- Gibt es etwas Besonderes bei dem 1&1 als Internet-Provider zu beachten?
Ich denke mal, die händeln das sehr sauber.
Und noch eine andere Frage: mit welchen Methoden, kann man sonst noch den Zugriff auf bestimmte Seiten nur Menschen mit einem Benutzernamen/Passwort ermöglichen?
SSI oder PHP auf der aufrufenden Seite, die den Link nur öffnen, wenn bestimmte Bedingungen erfüllt sind. z.B. könnte das Anklicken eines bestimmten Seitenbereiches mit anschließender unsichtbarer Eingabe eines Passwortes nötig sein. Oder aufeinanderfolgende Mouseover-Events in einer bestimmten Reihenfolge sind gefragt. Deiner Fantasie sind hier keine Grenzen gesetzt. Getarnte Zugänge sind sicher auch in der virtuellen Welt ein zuverlässiger Anfangsschutz ;-). Zusätzlich sollte aber die Seite trotzdem mit einer .htaccess gesichert werden. IMHO immer noch der sicherste Wächter. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo Jürgen, Am Freitag, 30. April 2004 12:38 schrieb Dr. Jürgen Vollmer:
Und noch eine andere Frage: mit welchen Methoden, kann man sonst noch den Zugriff auf bestimmte Seiten nur Menschen mit einem Benutzernamen/Passwort ermöglichen?
das sicherste dürfte das Sperren von Dateien oder Verzeichnissen in der apache.conf sein. Allerdings ist das bei 1&1 wohl nur über den eigenen Server dort zu realisieren, denn selbst dann, wenn Du Zugriff auf eine Include-Datei der apache.conf hast, mußt Du nach der Änderung den Apache-Server restarten. Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Dr. Jürgen Vollmer wrote:
Hallo allerseits,
nicht gerade SuSE-spezifisch, aber ich frage trotzdem mal das versammelte Expertenwissen der Liste hier an.
Wie "sicher" sind Web-Seiten, welche in einem mit einer .htaccess Datei "geschützt" sind? D.h. konkret: - kann man ohne Wissen des Passwortes die Seiten ansehen? - welcher Aufwand ist dazu nötig? - Auf welche Fallstricke muß man achten, damit vermieden wird, daß Unberechtigte Zugriff auf die Seiten haben? - Gibt es etwas Besonderes bei dem 1&1 als Internet-Provider zu beachten?
Und noch eine andere Frage: mit welchen Methoden, kann man sonst noch den Zugriff auf bestimmte Seiten nur Menschen mit einem Benutzernamen/Passwort ermöglichen?
Bin für alle Hinweise dankbar.
Bye Jürgen
Es gilt alles Gesagte. Zur Ergänzung: Session-Handling ist nicht immer möglich. Es geht auch mit einer DB. Also (gute) Zufallszahl (ID) einem User zuordnen und dann immer wieder die weitergegebene ID (RequestUri) mit der Gespeicherten vergleichen. LogOut ist hier dann auch möglich: einfach ID aus DB löschen. Das war eine Kurzform! Grusz Mathias -- Lieber lachende Pinguine als tanzende Büroklammern! CU in www.meeloon.de --
participants (6)
-
Bernd Tannenbaum -
Dr. Jürgen Vollmer -
Dr. Thorsten Brandau -
Heimo Ponnath -
Mathias Uebel -
Matthias Houdek