Zugriffsschutz (Login)

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #1

    Zugriffsschutz (Login)

    Hallöchen!

    Ich habe bisher einen Zugriffsschutz für besondere Bereiche einer Intranet-Anwendung per .htaccess Datei gemacht. Ist das eine sichere Variante?
    Ich habe gehört, dass es auch möglich ist, dies mit einem CGI-Skript zu tun.

    Dazu würde ich gerne eure Meinung hören. Was ihr benutzt, wieso, etc.?
    Stichworte: -
  • #2
    Hi,
    dies ist mit PHP möglich. Mit CGI weiss ich dies nicht so genau, aber denke doch eher das dies dort auch möglich ist.
    mfg
    Günni


    Praxis: Jeder kann´s, aber keiner weiß wie´s geht...
    Theorie: Jeder weiß wie´s geht, aber keiner kann´s ...
    Microsoft vereint Praxis und Theorie: Nix geht und keiner weiß warum
    City-Tiger - Online durch die Straßen tigern...

    Kommentar

    • #3
      Kann da keiner mehr dazu sagen?
      Ist .htaccess das beste, was es da an Möglichkeiten gibt?
      Einfach ist es ja, wenn Apache schon so eine Funktion zur Verfügung stellt, diese auch zu nutzen.
      Ich möchte aber wissen, wie es dabei mit der Sicherheit aussieht und ob es noch sichereren Zugriffsschutz gibt.
      Vielleicht helfen da ja ein paar Stichworte, unter denen ich im Netz weiter suchen kann.
      Bis jetzt habe ich immer nur Vorschläge gefunden, die htaccess benutzen. Das Verwalten von Usern ging zwar über eine Perl-Datei, im Endeffekt wurde aber dann eine .htaccess Datei benutzt.

      Kommentar

      • #4
        von dem was ich weiß, ist der .htaccess-Schutz ziemlich sicher! Wirklich sicher ist nichts. Aber eigene LoginSkripte bieten immer wieder die Möglichkeit, Sicherheitslücken durch Fehlerhafte Programmierung zu haben...

        gruss

        Kommentar

        • #5
          einziger nachteil bei der .htaccess ist meines wissens bei einer großen anzahl an benutzern .. dauert seine zeit die textdatei zu durchforsten ..

          dafür gibts ein modul das die authentifizierung per mysql erledigt, sprich die datensätze werden in der db gespeichert und das läuft dann schneller ..

          http://freshmeat.net/projects/mod_auth_mysql/
          mfg,
          [color=#0080c0]Coragon[/color]

          Kommentar

          • #6
            Habe jetzt mal das web durchforstet.

            Da hört man oft die gleichen Dinge:
            "htaccess gehört zu den besten Schutzmethoden"
            "htaccess ist sicher"

            Aber es gibt auch andere Meinungen:
            "Das Paßwort wird mittels des Crypt-Mechanismusses verschlüsselt, der aber laut man-page nicht wirklich sicher ist."
            www.kortstock.de/WWW-Kurs/verzeichnisschutz/ allgemeines.html
            Was ist denn die man-page? Hat das was mit manual zu tun?

            oder:
            "Solange kein Zugriff auf die Datei mit den Passwörtern besteht..."

            Im Intranet kann aber jeder auf die datei mit den Passwörtern zugreifen. Und diese bearbeiten!!!
            Ich kann von einem beliebigen Benutzer das Passwort ändern, ohne dessen altes zu wissen. Einfach "htpasswd Dateiname Username" im entsprechenden Verzeichnis eingeben, dann wird man nach dem neuen Passwort gefragt. Dies nur nochmal bestätigen, und schon hat man das Passwort geändert.
            Hängt das mit den Zugriffsrechten der Datei 'Dateiname' zusammen?

            Es kann doch nicht sein, dass jeder User, der sich auf der Konsole einloggen kann, willkürlich das Passwort eines beliebigen Users ändern kann.

            Kommentar

            • #7
              Es kann doch nicht sein, dass jeder User, der sich auf der Konsole einloggen kann, willkürlich das Passwort eines beliebigen Users ändern kann.

              Hängt das mit den Zugriffsrechten der Datei 'Dateiname' zusammen?
              so ist es.
              auf die datei mit den passwörtern sollte nur der admin zugriff haben.
              bzw. bei einem webserver eine bestimmte usergruppe, aber nicht jeder besucher (gruppenrechte unter unix/ linux).
              I don't believe in rebirth. Actually, I never did in my whole lives.

              Kommentar

              • #8
                Wie kann ich es dann machen, dass man über die Konsole nicht mehr die Passwörter ändern kann (klar: nur noch Leserechte für Benutzer, ausgenommen Administrator), aber sein eigenes Passwort noch geändert werden kann (das würde beim Einschränken der Schreibrechte doch auch nicht mehr gehen)?

                Hilfe, ich weiss grad überhaupt nicht mehr weiter!

                Kommentar

                • #9
                  Es ist immer gut und sicher den Standard-Weg des Webservers zu nehmen ... weil: Da ist mit Sicherheit noch niemand auf die Idee gekommen einen Password-Scanner zu schreiben ... weil's schließlich verboten ist ... und man dann ganz viele "Feinde" hat wenn man's tun würde ... da ist man sicher eher bereit Stunden seines Lebens damit zu verbringen einen individuell erstellten Login Mechanismus zu hacken ... weil man dann nur einen "Feind" hat ...

                  ... ich denke die .htaccess ist sicher der sicherste weg Verzeichnisse oder Dateien zu publizieren ... äh ... ich meinte schützen ...
                  carpe noctem

                  [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                  [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                  Kommentar

                  • #10
                    Dass htaccess sicher ist habe ich jetzt schon oft genug gehört.
                    Ich habe aber ein ganz anderes Problem.
                    Wenn ich die Zugriffsrechte auf meine Passwortdatei einschränke, dann kann nur noch der Administrator die Passwörter ändern.
                    Die Benutzer können dann nicht mehr ihr eigenes Passwort ändern.
                    Wenn ich die Datei beschreibbar lasse, dann kann ein Benutzer von der Konsole aus das Passwort eines beliebigen Benutzers ändern, ohne dessen Passwort wissen zu müssen.

                    Was kann ich in diesem Fall machen?

                    Kommentar

                    • #11
                      Also habe jetzt einen Änderungsskript für meine Passwortdateien geschrieben. Dies funktioniert auch wunderbar, wenn alle Benutzer schreibrecht auf der Passwortdatei haben. Nur kann dann jeder, der sich auf der Konsole einloggt, das Passwort von Hand ändern.
                      WIE KANN ICH DIESES PROBLEM LÖSEN? 8-(

                      Kommentar

                      • #12
                        normalerweise sollte es doch ausreichen, wenn das script änderungsrechte auf die datei hat?

                        denn dieses soll ja die datei ändern.

                        kommt jetzt wohl darauf an, unter welchem benutzer deine scripte laufen, root, gruppe oder alle.
                        I don't believe in rebirth. Actually, I never did in my whole lives.

                        Kommentar

                        • #13
                          Das Problem ist, dass das Skript als Benutzer 'www' läuft, und somit alle Benutzer auf die Passwortdatei schreiben dürfen, damit das Skript Zugriff hat.
                          Ich weiss nicht, wie ich es machen soll, dass das Skript als ein anderer Benutzer auf die Passwortdatei zugreift.

                          Die einzige Idee, die ich momentan habe, wäre, dass ich die Passwortänderung zwischenspeichere und sie per Cron alle x Minuten ausführe. Das hat aber zum Nachteil, dass das Passwort irgendwo liegen würde, bis die Änderung ausgeführt wird, und dass das Passwort nicht sofort geändert ist.

                          Kommentar

                          • #14
                            Das Problem ist, dass das Skript als Benutzer 'www' läuft
                            das sollte eigentlich nicht so sein.

                            kontaktiere doch mal deinen admin und frage ob sich da was dran ändern lässt.
                            I don't believe in rebirth. Actually, I never did in my whole lives.

                            Kommentar

                            • #15
                              Ist doch klar! Ein Benutzer kann über eine HTML-Seite Veränderungen vornehmen. Diese Anwendung läuft nur auf dem Server. Wenn ein Benutzer darauf zugreift tut er dies über einen Browser und damit ist der systemineterne Benutzer doch 'www'.
                              Oder gibt es da eine Möglichkeit, den Benutzer festzulegen?
                              Wie kann ich es machen, dass der Benutzer 'admin'-Rechte hat, zumindest beim Ändern des Passwortes? (ich meine von dieser Anwendung aus, auf der Konsole ist ja immer der angemeldete der benutzer)

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X