Wie sicher ist .htaccess?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
algorithmus
benutzername
code
datei
datenbank
erfahrung
formular
frage
gegensatz
http
komfort
login
optische sache
passieren
sache
server
sicht
string
verwaltung
vorteil
-
ho ;)
Mich beschäftigt seit einiger Zeit eine Frage:
Wie sicher ist es wirklich, sich auf .htaccess zu verlassen?
Mich würde wirklich eure Meinung und vor allem Erfahrung in Sachen Sicherheitsbereiche / Loginbereiche interessieren...
Ich weiß schon, dass verschiedene Arten von Logins verschiedene Vor- und Nachteile haben.
Z.B. fällt mir bei .htaccess gleich als erstes die (in meinen Augen) Sicherheitslücke des Wörterbuchangriffs ein. Man hat so viele Versuche, wie man will... Man hat einen Username und versucht sich so lange an dem Passwort, bis man es mal zufällig trifft - Htaccess bietet meines Wissens nach keine Möglichkeit, die Loginversuche auf beispielsweise 3 zu minimieren.
Weiters kann man sich auch nicht ausloggen, etc.
Auf der anderen Seite ist es wieder ein Vorteil, dass man .htaccess in wenigen Minuten einrichten kann. Man muss keine besonderen PHP Kenntnisse haben...
Ist es aber auf der anderen Seite wirklich sicherer mit reinem PHP bzw. PHP in Kombination mit MySQL zu arbeiten?
Mir ist schon klar, dass nichts perfekt und unfehlbar ist :D
Mich interessiert wie gesagt eure Erfahrung zu dem Thema sowie Vor- und Nachteile von verschiedenen Login Systemen.
lg
Sincer -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
hey
also meinermeinung nach ist es sicher natürlich ned 100% aber das ist ja mitlerweile nix mehr XD aber mit php und mysql ist es denk ich mal nochsichere ist aber auch aufwendiger ich hoffe ich konnte dir wenigstens ein bischen helfen
liebe Grüße
chatvz -
Bei den ganzen Möglichkeiten mit SQL Injections usw. würd ich eher sagen das .htaccess sicherer ist, außerdem würde ich usernamen benutzen die eigendlich nicht zu erraten sind, das gleiche mit Passwörtern
z.B.
H2dnd31kaoEnJ4 : h1Em3n8e56eEmQ
-
ho ;)
Das mit den SQL Injections war auch mein erstes Bedenken...
Wenn man einen kleinen Fehler bei der Datenbankabfrage macht, ist das ganze Loginsystem schon zum schmeißen.
Das kann bei .htaccess nicht passieren.
Gibt es noch mehr Leute, die mit mir und den anderen Usern des Boardes ihre Erfahrungen teilen möchten? :P
lg
Sincer -
Mal angenommen, es kommt jemand an die Datenbank oder eine .htpasswd, dann ist es beides gleichermaßen unsicher. Bei der .htpasswd speichert man die Passwörter über Crypt, in einer Datenbank meist per MD5. Bei beiden handelt es sich um Einwegverschlüsselungen und sind somit nur über Try&Error/Brutforce bzw. Rainbowtables erratbar. Der Unterschied mit einer Lösung über reinem PHP+Datenbank im Gegensatz zu einer .htpasswd wäre, dass man ein eigenes SALT deffinieren kann. Wie man das per .htaccess machen kann ist mir nicht klar, auser man verwendet httpauth über ein PHP-Script, vor allem wenn man eine Datenbank anbinden will. Da man meistens sowieso eine Datenbank verwendet, ist es egal ob die Logindaten von einer httpauth oder einem Formular an eine PHP-Datei gesendet werden, manipulieren kann man schließlich beides und somit könnten SQL-Injections bei beiden Möglichkeiten vorkommen. Somit ist es egal was man verwendet, solange man seine Scripte sicher schreibt. Ich persönlich bevorzuge ein Formular statt ein Auth-Prompt.
-
Mal angenommen, es kommt jemand an die Datenbank oder eine .htpasswd, dann ist es beides gleichermaßen unsicher.
Ja, und wenn man seine .htpasswd auf der Homepage zum Download bereitstellt, samt root-Passwort zum Server und einer schriftlichen Einladung, dann ist beides unsicher....
Also: Sicher ist, den Server vom Netz zu nehmen. Ansonsten hilft gegen Dovheit nichts - aber bei .htaccess ist es imho deutlich schwerer dov zu sein, als bei PHP + MySQL ;) Allerdings auch bisschen kleinerer Komfort, wenn man mich fragen täte. -
ho ;)
Thx für eure Antworten :)
@trueweb:
Weil du das angesprochen hast...
Dir ist ein "normales" Loginfeld lieber, als ein PopUp...
Das ist ja nur eine Optische Sache XD
Aber ist es vil. möglich, ein Loginfeld zu machen, und die Daten, die eingegeben werden, auf die .htaccess Datei zu übertragen, und sich damit einzuloggen? Also quasi eine rein optische Veränderung vorzunehemn?
(Sry, dass ich so blöd frage, aber ich habe davon kaum eine Ahnung :/ )
@merovius:
Was genau meinst du mit "weniger Komfort"?
Meinst du das aus sicht des Benützers der Seite, oder aus der Sicht des Programmierers der Seite?
Und was wäre diese Komfort, den man mit nicht-htaccess Loginsystemen hätte?
lg
Sincer -
ho ;)
Thx für eure Antworten :)
@trueweb:
Weil du das angesprochen hast...
Dir ist ein "normales" Loginfeld lieber, als ein PopUp...
Das ist ja nur eine Optische Sache XD
Aber ist es vil. möglich, ein Loginfeld zu machen, und die Daten, die eingegeben werden, auf die .htaccess Datei zu übertragen, und sich damit einzuloggen? Also quasi eine rein optische Veränderung vorzunehemn?
(Sry, dass ich so blöd frage, aber ich habe davon kaum eine Ahnung :/ )
@merovius:
Was genau meinst du mit "weniger Komfort"?
Meinst du das aus sicht des Benützers der Seite, oder aus der Sicht des Programmierers der Seite?
Und was wäre diese Komfort, den man mit nicht-htaccess Loginsystemen hätte?
lg
Sincer
Mit dem Komfort meine ich vor allem die optische Sache. Es ist m.E. nämlich nicht möglich, den HTTP-Login per Formular abzuwickeln (höchstens über Ajax... da weiss ich aber nicht genau genug, wie der Login funzt über Http). Und ich habe halt auch lieber ein Formular zum eingeben, mit Erklärungen, mit einem Link "Passwort vergessen" und nem Häkchen "Cookie setzen", das ganz dann nett mit Eyecandy aufgemacht. Ich halte persönlich absolut nichts von einem Http-Login - ausser zu Administrationszwecken.
Für den Webdeveloper ist PHP + MySQL bzw. Formular auf jeden Fall aufwändiger, bei HTTP-Login legt man ja einfach die .htaccess, die .htpasswd an und den Rest übernimmt der Apache ;) -
ho ;)
D.h. du würdest mir davon abraten, einen User-Login über .htaccess abzuwickeln?!
Aber abgesehen vom Konfort gäbe es weiters keine Sicherheitseinschränkungen (außer dem genannten Bruteforceangriff...)
lg
Sincer -
Ich würde dir von der htaccess Methode abraten, denn wenn die Verbindung nicht verschlüsselt ist, werden Benutzername und Passwort lediglich base64[1] Codiert übertragen, ein Beispiel:
Benutzername: test
Passwort: bla
Im HTTP-Header steht dann folgendes:
Authorization: Basic dGVzdDpibGE=
Wobei
dGVzdDpibGE=
decodiert folgendes ist:
test:bla
Außerdem wird dieser String bei jedem Aufruf der Seite übertragen. somit kann der String evtl. abgefangen werden (Stichwort: Man-In-The-Middle[2]).
[1] http://de.wikipedia.org/wiki/Base64
[2] http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff
Beitrag geändert: 17.10.2008 23:54:27 von thomasba -
ho ;)
Danke für den Hinweis :)
Aber kann das gleiche nicht auch dann passieren, wenn der FTP Sever mit dem SQL Server kommuniziert, um den Username und das PW zu überprüfen?
Oder meinst du, dass man mit Hilfe von PHP diese Schwachstelle durch bessere Verschlüsselung leichter beheben kann?
(Was man im Gegensatz dazu bei htaccess überhauptnicht beeinflussen kann...)
lg
Sincer -
ho ;)
Danke für den Hinweis :)
Aber kann das gleiche nicht auch dann passieren, wenn der FTP Sever mit dem SQL Server kommuniziert, um den Username und das PW zu überprüfen?
Oder meinst du, dass man mit Hilfe von PHP diese Schwachstelle durch bessere Verschlüsselung leichter beheben kann?
(Was man im Gegensatz dazu bei htaccess überhauptnicht beeinflussen kann...)
lg
Sincer
Passwörter werden in einer Datenbank meistens als MD5-Hash[1] gespeichert, der Vorteil an solchen Algorithmen ist, das sie nur in eine Richtung Funktionieren. Dadurch bringt es einem wenig, wenn man das Passwort abfängt, welches von PHP bereits "gehasht" an den Datenbankserver übertragen wird. Wenn man das Ganze noch sicherer machen möchte, verwendet man einen Salt[2].
Bei solchen Sachen muss man allerdings aufpassen, das man eine Sichere Session-Verwaltung hat, nicht so wie hier bei Lima-City. Hier werden derzeit einfach Benutzername und der MD5-Hash des Passwort als Cookie gespeichert.
[1] http://de.wikipedia.org/wiki/MD5
Weitere Infos zu Hash-Funktionen:
http://de.wikipedia.org/wiki/Hash-Funktion
[2] http://de.wikipedia.org/wiki/Salt_(Kryptologie) -
Passwörter werden in einer Datenbank meistens als MD5-Hash[1] gespeichert, der Vorteil an solchen Algorithmen ist, das sie nur in eine Richtung Funktionieren. Dadurch bringt es einem wenig, wenn man das Passwort abfängt, welches von PHP bereits "gehasht" an den Datenbankserver übertragen wird. Wenn man das Ganze noch sicherer machen möchte, verwendet man einen Salt[2].
Bei solchen Sachen muss man allerdings aufpassen, das man eine Sichere Session-Verwaltung hat, nicht so wie hier bei Lima-City. Hier werden derzeit einfach Benutzername und der MD5-Hash des Passwort als Cookie gespeichert.
Ohne Salt ist der Kryptografische Nutzen = 0 ;)
Und das finde ich ziemlich krazz, gerade, mit lima.... Also, eigentlich sollte das Passwort bei jeder Übertragung gesalzen werden. Sonst bringt es wie gesagt nichts. Schon gar nicht, wenns im Cookie steht und jedes mal bei jedem Aufruf von lima mit übertragen wird...
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
