# Homepage auf Sicherheitslücken überprüfen



## Ich_halt224 (12. Mai 2008)

Guten morgen,

ich baue im Moment eine kleine private Homepage für eine Freundin, die ein bißchen modelt, bisher hatte sie das mit auf ihrer privaten Seite, zum Geburtstag habe ich ihr nun aber eine neue Seite geschenkt.

Da bin ich grade mit ihr dran am basteln und nun geht es mir darum, mögliche Sicherheitslücken (die bestimmt da sind ^^) zu schließen. 
Zb. gibt es einige Bereiche, die Passwort-geschützt sind, allerdings nicht durch eine Datenbank oder so sondern mit einem Java-Script. Ich weiß, die Profis werden sicherlich darüber lachen ;-) aber für so eine private Seite reicht das aus, denke ich mal.

Also es wäre super, wenn mal ein paar Leute drüber schauen würden und mir Tipps geben würden, was ich verbessern könnte.

Das seltsame Design hat sich meine Freundin selbst ausgesucht, wenn ihr da aber Tipps habt, höre ich mir gerne an und schlage sie ihr dann vor.

Die Adresse der HP will ich hier nicht offen rein schreiben, könnt ja hier antworten, dann schicke ich euch die per PN oder schreibt mich einfach per PN an, dann schicke ich sie zurück. 

Vielen Dank!


----------



## Dennis Wronka (12. Mai 2008)

Ich kann gern mal drueber schauen.
Zum Thema Passwort-Schutz mit JavaScript: Das ist wirklich nicht sicher. Denn dabei wird auch das Passwort an den Client uebertragen.

Falls moeglich solltest Du eher mit .htaccess oder PHP arbeiten.


----------



## EuroCent (12. Mai 2008)

die beste und sicherste variante ist immer noch mit PHP

Dabei sollte man auch darauf achten auf die Sicherheitsrisiken

Aber eine Homepage wird man nie Sicherhalten können ^^

Genauso wenig wie man sagen kann "Meine Homepage ist fertig"


----------



## Ich_halt224 (12. Mai 2008)

Hallo Dennis,

es ist dieser Passwortschutz, wo die Datei zb. passwort.htm heisst und wenn man "passwort" eingibt, man zu dieser Datei weiter geleitet wird. Also das PW steht nicht mit im Quelltext. 

Ich schicke dir die Adresse per PN, freue mich über konstruktive Kritik und Tipps.


----------



## Ich_halt224 (12. Mai 2008)

Lenox hat gesagt.:


> die beste und sicherste variante ist immer noch mit PHP



Ja, damit habt Ihr wahrscheinlich Recht, werde mich mal durch die Tutorials wurschteln, hatte hier mal ein "relativ leichtes" Tutorial gefunden, womit sich selbst Leute wie ich, die kaum Ahnung von PHP haben, ein LogIn-System über eine MyQSL-Datenbank bauen konnten. (hatte es damals geschafft ^^)


----------



## Dennis Wronka (12. Mai 2008)

Ich denke fuer Dich waere hier der Weg ueber .htaccess wirklich der einfachste und effektivste.


----------



## Ich_halt224 (12. Mai 2008)

Dennis Wronka hat gesagt.:


> Ich denke fuer Dich waere hier der Weg ueber .htaccess wirklich der einfachste und effektivste.



Was ist denn .htacces? Hast du da vielleicht einen Link zu einem Tutorial? Sonst noch Tipps zur Seite?

Vielen Dank!


----------



## Maik (12. Mai 2008)

Hi,

http://de.selfhtml.org/servercgi/server/htaccess.htm


----------



## Sven Mintel (12. Mai 2008)

Moin,



Ich_halt224 hat gesagt.:


> es ist dieser Passwortschutz, wo die Datei zb. passwort.htm heisst und wenn man "passwort" eingibt, man zu dieser Datei weiter geleitet wird. Also das PW steht nicht mit im Quelltext.



Auch wenn ich in Kürze mit faulen Tomaten und Eiern beworfen werde :suspekt: ....
ich finde diesen "Passwortschutz" nicht viel unsicherer als sonstige Techniken :-(

Wie kann er denn geknackt werden?
*Variante 1: *jemand verrät die URL zu der Seite(derjenige könnte genausogut seine Zugangsdaten verraten)
*Variante 2:*Jemand gelangt durch Zufall dorthin, weil er die richtige URL errät(er könnte auch zufällig ein Passwort erraten)
*Variante 3:*Jemand versucht es mit der Brechstange(Bruteforce)...das kann er auch bei einem Passwort versuchen.

Also diese 3 Varianten berücksichtigt, und mal davon ausgegangen, dass der Dateiname(das Passwort) halbwegs ungewöhnlich gewählt ist(also eine sinnlose Zeichenkombination wie üblich bei Passwörtern)...und sich auf diesen Seiten keine Objekte von entfernten Servern befinden(bspw. Bilder...auf den entfernten Servern würde der HTTP_REFERER geloggt werden, welcher die URL verrät)... finde ich diesen Passwortschutz nicht so unsicher, das Manko liegt eher darin, dass man für alle User  die selben "Zugangsdaten" hat und so bspw. nicht einzelne später aussperren kann.


----------



## Dennis Wronka (13. Mai 2008)

Sven Mintel hat gesagt.:


> Auch wenn ich in Kürze mit faulen Tomaten und Eiern beworfen werde :suspekt: ....
> ich finde diesen "Passwortschutz" nicht viel unsicherer als sonstige Techniken :-(


Ich sag ja selbst dass dieser Schutz sicherer ist als das Passwort im JavaScript zu haben. So ist es wenigstens nicht einsehbar.
Problem ist aber trotzdem dass auch dieser Schutz umgangen werden kann. Und das sogar relativ einfach. Nicht kinderleicht, aber es ist auch kein wirklich grosses Hindernis an die Bilder seiner Freundin zu kommen.

Dass ich dazu hier keine Details poste sollte klar sein, auch wenn die URL nicht allgemein bekannt ist.


----------

