authentifizierung via http

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • authentifizierung via http

    Hallo ich bins mal wieder und zwar habe ich den Adminbereich meines Scriptes nach Lehrbuch folgendermaßen abgesichert:
    PHP-Code:
    <?php
    if ($_SERVER["PHP_AUTH_USER"]!="Beispieluser" OR $_SERVER["PHP_AUTH_PW"]!="Beispielpasswort")
    {
    HEADER ('HTTP/1.1 401 Unauthorized');
    HEADER('WWW-Authenticate: Basic realm="Privatezone"');
    echo
    "Sie haben den Vorgang abgebrochen!" ;
    exit;
    }
    else
    {
    unset(
    $PHP_AUTH_PW);
    }
    ?>
    Bis dahin ist ja auch alles in der Reihe ABER dort steht dass ein Sicherheitsproblem darin besteht, dass ich bei "basic" die Daten unverschlüsselt übertrage . Das könnte man mit HTTPS verhindern steht auch da.
    ABER ich habe bei meinem Provider angerfragt und die wollen richtig Kohle dafür sehen, wenn Sie mir SSL zur Verfügung stellen und das ist mir ehrlich gesagt bei einem billigen Script wie nem GB zuviel.


    Meine Frage jetzt wie kann ich die Daten einigermaßen sicher (So dass Sie nicht sofort jeder Vogel lesen kann..) zum Server bringen??

    Wie sicher wäre es, wenn ich versuche die Eingaben durch ein Formular mittels POST übergeben würde von einer anderen Datei???

  • #2
    Die Daten, wie z.B. das Passwort sind Base64 codiert, also jeder
    Vogel kanns schonmal nicht lesen, aber es ist keine Verschlüsselung,
    deshalb wäre es nicht schwer die Daten einfach zurück zu encodieren.

    Am sichersten wäre natürlich SSL, ansonsten versuch halt mit Sessions
    was zu machen. Prüf deine Daten mit ner DB wo du sie ablegst.
    Der Mensch ist ein Tier das zuviel denkt!

    Kommentar


    • #3
      Re: authentifizierung via http

      es gibt neben "basic" ja auch noch andere auth-typen wie beispielsweise "digest", wo nur die MD5-verschlüsselten daten übertragen werden.

      setzt aber natürlich voraus, dass der client dies auch beherrscht - und welcher große browser dazu immer noch zu blöd ist, darfst du jetzt mal raten ...
      I don't believe in rebirth. Actually, I never did in my whole lives.

      Kommentar


      • #4
        und das mit dem POST über ein Formular??

        mit sessions und so wollte ich eigentlich keinen großen aufwand betreiben ......es handelt sich ja nicht um Kontodaten, Kreditnummern etc ...es geht halt nur darum das ganze einigermaßen dicht zu halten, so dass sich schon jemand ein wenig anstrengen muss das zu knacken oder an die daten heranzukommen.

        SSL werde ich wohl einsetzen, wenn ich entsprechende Server voraussetzungen habe bzw. finanzmittel

        Kommentar


        • #5
          Re: Re: authentifizierung via http

          Original geschrieben von wahsaga

          setzt aber natürlich voraus, dass der client dies auch beherrscht - und welcher große browser dazu immer noch zu blöd ist, darfst du jetzt mal raten ...
          ... aber nur weil er seine eigene hat und nur mit seinem großen Server damit kommunizieren will

          Kommentar


          • #6
            microdoof etwa???

            Wäre nett wenn vielleicht mal jemand was fertiges hätte und es postet danke leutz...!!

            Kommentar


            • #7
              @hasta
              Dein Vorschlag ist für die Füße, da die Session auf dem Server abgelegt wird, aber nicht dafür sorgt, dass die Daten vom Client nicht im Klartext übertragen werden

              @webmoehre
              Wenn dir SSL zu teuer ist, dann kannst du nur per JavaScript o. ä. die Eingabe bereits beim Client verschlüsseln (mit den damit verbundenen "Vorteilen" wie deaktiviertem JS, ActiveX, ...)
              Oder du nutzt statt Basic einfach Digest als Authentifizierungsverfahren und schließt Leute mit dem blauen e aus.

              An deinem Skript ändert sich in dem Fall bis auf ein einzelnes Wort nichts

              Was ist denn so schlimm daran, wenn du für den Adminbereich deines Gästebuchs die Daten im Klartext überträgst?
              Beim Anmelden hier im Forum ist es doch genauso, für die highly exclusive Moderatoren- und Adminbereiche mit GoGo-****************s und Schampus für alle übrigens auch
              Ich denke, also bin ich. - Einige sind trotzdem...

              Kommentar


              • #8

                @mrhappiness
                was hat das denn mit dem digest auf sich ???
                heisst dass dann, dass ich mit nem m i explorer meinen Admin bereich nicht betreten kann oder wie ??
                wäre auch eigentlich ziemlich egal nehme dann einfach nen anderen browser....

                also bin ich was deinen letzten satz angeht von wegen sicherheit solange ich nix mit kontonummern und kreditkartenrott am hut habe auf der einigermaßen sicheren Seite mit meiner art der absichrung oder wie??
                Zuletzt geändert von webmoehre; 15.12.2004, 20:39.

                Kommentar


                • #9
                  ja
                  Ich denke, also bin ich. - Einige sind trotzdem...

                  Kommentar


                  • #10
                    thanks

                    Kommentar

                    Lädt...
                    X