Homepage auf Sicherheitslücken überprüfen

Status
Nicht offen für weitere Antworten.

Ich_halt224

Erfahrenes Mitglied
Guten morgen,

ich baue im Moment eine kleine private Homepage für eine Freundin, die ein bißchen modelt, bisher hatte sie das mit auf ihrer privaten Seite, zum Geburtstag habe ich ihr nun aber eine neue Seite geschenkt.

Da bin ich grade mit ihr dran am basteln und nun geht es mir darum, mögliche Sicherheitslücken (die bestimmt da sind ^^) zu schließen.
Zb. gibt es einige Bereiche, die Passwort-geschützt sind, allerdings nicht durch eine Datenbank oder so sondern mit einem Java-Script. Ich weiß, die Profis werden sicherlich darüber lachen ;-) aber für so eine private Seite reicht das aus, denke ich mal.

Also es wäre super, wenn mal ein paar Leute drüber schauen würden und mir Tipps geben würden, was ich verbessern könnte.

Das seltsame Design hat sich meine Freundin selbst ausgesucht, wenn ihr da aber Tipps habt, höre ich mir gerne an und schlage sie ihr dann vor.

Die Adresse der HP will ich hier nicht offen rein schreiben, könnt ja hier antworten, dann schicke ich euch die per PN oder schreibt mich einfach per PN an, dann schicke ich sie zurück. :)

Vielen Dank!
 
Ich kann gern mal drueber schauen.
Zum Thema Passwort-Schutz mit JavaScript: Das ist wirklich nicht sicher. Denn dabei wird auch das Passwort an den Client uebertragen.

Falls moeglich solltest Du eher mit .htaccess oder PHP arbeiten.
 
die beste und sicherste variante ist immer noch mit PHP

Dabei sollte man auch darauf achten auf die Sicherheitsrisiken

Aber eine Homepage wird man nie Sicherhalten können ^^

Genauso wenig wie man sagen kann "Meine Homepage ist fertig"
 
Hallo Dennis,

es ist dieser Passwortschutz, wo die Datei zb. passwort.htm heisst und wenn man "passwort" eingibt, man zu dieser Datei weiter geleitet wird. Also das PW steht nicht mit im Quelltext.

Ich schicke dir die Adresse per PN, freue mich über konstruktive Kritik und Tipps. :-)
 
die beste und sicherste variante ist immer noch mit PHP

Ja, damit habt Ihr wahrscheinlich Recht, werde mich mal durch die Tutorials wurschteln, hatte hier mal ein "relativ leichtes" Tutorial gefunden, womit sich selbst Leute wie ich, die kaum Ahnung von PHP haben, ein LogIn-System über eine MyQSL-Datenbank bauen konnten. (hatte es damals geschafft ^^)
 
Moin,

es ist dieser Passwortschutz, wo die Datei zb. passwort.htm heisst und wenn man "passwort" eingibt, man zu dieser Datei weiter geleitet wird. Also das PW steht nicht mit im Quelltext.
:-)

Auch wenn ich in Kürze mit faulen Tomaten und Eiern beworfen werde :suspekt: ....
ich finde diesen "Passwortschutz" nicht viel unsicherer als sonstige Techniken :-(

Wie kann er denn geknackt werden?
Variante 1: jemand verrät die URL zu der Seite(derjenige könnte genausogut seine Zugangsdaten verraten)
Variante 2:Jemand gelangt durch Zufall dorthin, weil er die richtige URL errät(er könnte auch zufällig ein Passwort erraten)
Variante 3:Jemand versucht es mit der Brechstange(Bruteforce)...das kann er auch bei einem Passwort versuchen.

Also diese 3 Varianten berücksichtigt, und mal davon ausgegangen, dass der Dateiname(das Passwort) halbwegs ungewöhnlich gewählt ist(also eine sinnlose Zeichenkombination wie üblich bei Passwörtern)...und sich auf diesen Seiten keine Objekte von entfernten Servern befinden(bspw. Bilder...auf den entfernten Servern würde der HTTP_REFERER geloggt werden, welcher die URL verrät)... finde ich diesen Passwortschutz nicht so unsicher, das Manko liegt eher darin, dass man für alle User die selben "Zugangsdaten" hat und so bspw. nicht einzelne später aussperren kann.
 
Auch wenn ich in Kürze mit faulen Tomaten und Eiern beworfen werde :suspekt: ....
ich finde diesen "Passwortschutz" nicht viel unsicherer als sonstige Techniken :-(
Ich sag ja selbst dass dieser Schutz sicherer ist als das Passwort im JavaScript zu haben. So ist es wenigstens nicht einsehbar.
Problem ist aber trotzdem dass auch dieser Schutz umgangen werden kann. Und das sogar relativ einfach. Nicht kinderleicht, aber es ist auch kein wirklich grosses Hindernis an die Bilder seiner Freundin zu kommen.

Dass ich dazu hier keine Details poste sollte klar sein, auch wenn die URL nicht allgemein bekannt ist.
 
Status
Nicht offen für weitere Antworten.
Zurück