Security von Homepages mit Login ?

  • Ciao,

    ich hab eine einfache Hompage beim Provider 1+1. Ich kann einzelne Verzeichnisse mit USer und Pwd-Schutz versehen, dann muss man sich einloggen wenn man beim Surfen in diese Verzeichnisse wechselt. Ich möchte gerne einschätzen, wie sicher dieser Schutz gegen unauthorisierte Benutzer der passwort-geschützen Seiten ist. (Soweit ich weiss wird der .htaccess Mechanismus benutzt http://de.selfhtml.org/servercgi/server/htaccess.htm).

    Meine Frage(n) also:
    - Wie sicher ist dieser Schutz gegen unauthorisierte Benutzer der passwort-geschützen Seiten ?
    - Anders herum gefragt: Wie verbreitet ist evtl das Wissen solche Schutzmechanismen zu umgehen ?

    Danke für Eure Kommentare !

    Gruss, Peter

    4 Mal editiert, zuletzt von petersausk (22. August 2008 um 16:56)

  • Doch, doch ich kann es ja ändern + es funktioniert auch !Der Login kommt dann hoch usw.

    Ich frage mich jur GRUNDSÄTZLICH wie sicher dieser Zugriffsschutz ist.

    Gibt es - bei den Freaks - wohlbekannte techniken um das zu umgehen, oder nicht ? Wohlgemerkt ich will nicht wissen WIE das dann geht, sondern OB ? Nur damit ich ermessen kann, was ich auf die geschützten Seiten legen kann und was nicht (hochsensible Daten sowieso nicht, das ist schon klar !).

    Peter

  • Hm, das klingt für mich, als würdest du ein wenig übertreiben :)
    Aber nun gut, im Grundsatz ist der .htaccess Schutz sicher genug sofern der Server gut konfiguriert ist.
    Wenn da allerdings Mist gebaut wurde, bringt auch der besste Schutz nichts.
    Bei einer guten .htaccess Verschlüssellung kann man nur mit Brute Force eindrigen.
    Wenn dein Passwort also 8 Zeichen lang ist, dann würden 8^62 mögliche Kombinationen zu testen sein, d. h. es könnte ein paar Jahre dauern das zu knacken :)

  • .htaccess an sich kann sehr sicher sein. Es kommt jetzt nur noch auf 2 Sachen an: 1. Ein sicheres Passwort. 15-20 Zeichen, mit Groß-/Kleinschreibung und Sonderzeichen und ohne Sinnvolle Verkettung von Zeichen. Damit bist du gegen BruteForce-Attacken gesichert und Scriptkiddies bleiben außen vor. 2. Verschlüselte Übertagung des Passwortes an den Server. Wenn du dir die .htaccess ansiehst, findest du die Zeile

    Code
    Authtype basic/digest

    basic bedeutet, dass das Passwort im Klartext an den Server geschickt wird. Leider ist dies die Standardeinstellung, da die verschlüsselte Übertragung per digest nicht von allen Browsern unterstützt wird. Somit kann ein Hacker den Request abfangen und hat damit dein Passwort, wobei das dann schon etwas mehr können erfordert. Zusammenfassend kann man sagen, dass du mit einem guten Passwort (siehe 1.) recht gut geschützt sein solltest. Vorrausgesetzt, es hat niemand Begabtes explizit was gegen dich oder dein Projekt. Grüße, Jojo