# kann .htaccess umgangen werden?



## Flattman (29. Oktober 2003)

Hallo,
ich verwende auf meinem Server oftmals den PWSchutz durch .htaccess. Nur stellte ich mir vor ein paar Tagen die Frage ob man diesen Schutz irgendwie umgehen kann? Ist sowas möglich? Und wenn ja wie wird sowas realisiert? Jetzt bitte nicht denken das ich vorhabe irgendwelchen Unsnn damit zu machen. Will nur veruschen dann mir einen sicheren PWSchutz zu bauen per PHP oder so. Muss dafür aber wissen was beim .htaccess nicht richtig funktioniert, wo die Lücken sind.

 MfG & 
  Flattman


----------



## Thorsten Ball (29. Oktober 2003)

Hi Flattman,

also eigentlich dürfte es nicht umgänglich sein.
Die .htaccess Datei schützt einen Ordner und braucht
Benutzername und Passwort um eine dort befindliche
Datei aufzurufen. Das kann man dann auch nicht
durch irgendwelche Links umgehen, da die ja
auch den Ordner aufrufen. 

Falls aber eine Zugang zu deinem Webspace hat, kann
er die .htaccess Datei löschen, und damit ist der Schutz dahin.

Also ich bin ja nicht so der Pro im .htaccess Sperren umgehen, aber ich behaupte dass es unumgänglich
ist, falls man keinen Zugriff auf den Webspace hat.

MrNugget


----------



## Flattman (31. Oktober 2003)

jo .

nur wie sieht es aus wenn man das PW welches übermittelt wird vor dem server abfängt? wird es verschlüsselt versendet. also für jede session ein neuer verschlüsselungschlüssel verwendet? Wenn man das ausspähen kann, könnte man ja theoretisch das PW abfangen und selber hinschicken, so hätte man dann ja zugang oder?

MfG
  Flattman


----------



## Fabian H (31. Oktober 2003)

Wenn das System ein UNIX System ist, dann wird es in der .htpasswd mit einer DES-Verschlüsselung gespeichert. Was aber nicht heißt, dasss es auch so übertragen wird.
Wie es übertagen wird, kann ich dir nicht sagen, aber die Warscheinlichkeit, dass jemand deinen Datenverkehr abhört ist äußerst gering.
Allein schon durch die technischen Möglichkeiten:
Es kann ja nicht jeder x-Beliebige von irgendeinem PC aus deine Pakete abfabgen, dazu müsste er schön irgendwo an direkt deinem Knoten (oder wo auch immer) hocken.

Ausserdem solltest du darauf achten, dass du den Inhalt der htpasswd-Datei nicht gerade auf die Startseite legst (DES-Verschlüsselung ist mit Bruteforce in nicht all zu langer Zeit geknackt). Aber da die meisten Webserver sowieso so eingestellt sind, dass man auf die .ht* Dateien nicht zugreiffen kann, dürfte das auch kein Problem darstellen.


----------



## Tim C. (31. Oktober 2003)

Sollte, hätte, würde, wenn. Konditional at it's best 

Nein mal Spaß bei Seite, da htaccess direkt auf Webserver Ebene läuft, ist es meiner Meinung nach die sicherste (nicht verschlüsselte) Login Methode. Das würdest du selbst mit PHP kaum sicherer hinbekommen, es sei denn du verwendest dann ebenfalls die Header-Autentifizierung (wie auch htaccess), also das gleiche Eingabefeld, gleichst aber dann die Daten mit einer Datenbank ab. So könnte man sich die .htaccess Datei sparen.

Ich weiss aber nicht, ob das wirklich genauso sicher ist. Weil es ist ja nicht mehr so nahe am Server dran, wie htaccess, da es erstmla über dne PHP-Parser laufen muss.

Mag sein, dass ich jetzt kolossal daneben liege, dann möge mich wer berichtigen.

Für verschlüsselte Logins, müsstest du dich mal mit SSL auseinandersetzen.


----------

