htaccess

the B_o_0_n · 13.09.2007

Ich will mir eine eigene Hompage machen.
Habe mich auch mit meinem kumpel darüber unterhalten,
weil er sowas auch macht.

Da sind wir auf das Thema sicherheit zu sprechen gekommen.
Da auf der Seite ein geschützer Bereich sein soll.
Mit Daten die nur für mich und Leute mit dem Pasword zugänglich sein sollen.
Ich meinte ich würde diesen Bereich mit .htaccess Schützen wollen.
Da meinte mien Kumpel,
das .htaccess unsicher sei und leicht zu umgehen.
Soweit ich weiss, ist doch das Verzichniss mit dem .htaccess Schutz und alle unterverzeichnisse auch geschützt und die Password Datei liegt ja nicht für das Internet zugänglich oder nicht?

Stimmt das?
Wenn ja, wie umgeht man den Schutz?
Und wie kann ich mich dagegen schützen?

Ist es das Problem das sie an das Passwordfile kommen,
oder wie ist es möglich diesen Schutz zu umgehen?

Danke für eure Hilfe

TrµMAn · 13.09.2007

Hi erstmal ^^

htaccess ist meiner meinung nach schon sehr sicher. Die datei mit den Nicks und den Passwörtern sollte allerdings ebenfalls unter dem htaccess schutz stehen.

Was ich allerdings nicht weiß, was aber möglich sein könnte, ist ob es möglich ist, die .htaccess-datei auszulesen und über diese auch die .htpass-datei auslesen zu können.

Eigentlich kenne ich z.Z. keine Sichere methode als den htaccess schutz ... wobei ich sagen muss das ich mich nicht wirklich damit auseinander gesetzt hab.

haxor · 13.09.2007

.htacess ist als Lösung für deine private Webseite absolut zu empfehlen.

dakkar · 19.09.2007

jep.

.htaccess lassen sich bestenfalls umgehen, wenn man den webserver kaputtkonfiguriert.
per default werden die sowohl beim apache1 und apache2
garnicht erst ausgeliefert. (alle Dateien die mit .ht beginnen btw).

die datei mit den passwoertern sollte eh AUSSERHALB des webroots liegen, und so kommt man auch an die (gehashten) PWs auch nicht ran.

ergo --> sehr zu empfehlen

dakky

TrµMAn · 19.09.2007

dakkar schrieb:
die datei mit den passwoertern sollte eh AUSSERHALB des webroots liegen, und so kommt man auch an die (gehashten) PWs auch nicht ran.

für den Laien bei Funpic etc. ja leider nicht möglich ^^

sebhoff · 19.09.2007

.htaccess pw's waren glaub ich mit john the Ripper per bruteforce zu knacken. Obs schon modernere/schnellere Varianten gibt weiß ich jetzt grad nicht.
dauert aber bei längeren Passwörtern etwas.

Es wäre sehr von Vorteil wenn es möglich ist, die .htpasswd (die auch jeden anderen Namen haben kann) wie schon erwähnt außerhalb des web-roots/public/html Verzeichnisses liegen, wo man als normaler surfer keinen Zugang drauf hat, weil dies schon der Webserver so absichert.

dakkar · 20.09.2007

noe is afaik noch die "schnellste" moeglichkeit die per brute force zu knacken.
Anders gehts ja nicht, da da ja nur die PW hashes (md5/sha) gespeichert werden und nicht die PWs an sich

TrµMAn · 20.09.2007

aber irgendwie möchte ich nicht glauben das es eine Verschlüsselung gibt die nur in eine richtung läuft o_O

Klingt für mich einfach ... naja unlogisch ^^

dakkar · 20.09.2007

^^ doch gibt es

der preis dafuer ist halt die (extrem unwarscheinliche) chance, dass ein hash fuer mehr als ein PW gilt. sprich es THEORETISCH sein kann, dass das PW einmal baum und ein anderesmal ziege ist, der hash fuer beide aber gleich ist.

dakky

sebhoff · 20.09.2007

TrµMAn schrieb:
aber irgendwie möchte ich nicht glauben das es eine Verschlüsselung gibt die nur in eine richtung läuft
Klingt für mich einfach ... naja unlogisch ^^

Das Passwort in Klartext wird sozusagen durch den Flieschwolf gedreht und kann nicht wieder zusammengesetzt werden. Bei der Passwortabfrage wird nun die Eingabe ebenfalls durch den Fleischwolf gedreht und das Ergebniss (viel gehacktes :grinning: ) wird dann verglichen.

cmddegi · 20.09.2007

Die meisten Verschlüsselungen basieren auf dem Konzept. Der Sinn hinter der Sache ist, dass man, auch wenn der Algorithmus bekannt ist, nicht aus dem Hash auf das Passwort zurückrechnen kann. Ansonsten wäre die gesamte Verschlüsselung sofort zu vergessen, wenn der Algo bekannt wird (einige Firmen woll(t)en das nicht wahrhaben und fliegen damit regelmäßig auf die Fresse

).
Die Algorithmen werden dabei natürlich so designed, dass alle möglichen Hashes gleich wahrscheinlich vorkommen und keine Häufungen auftreten. Meistens werden solche Verschlüsselungen dann geknackt, wenn jemand Gesetzmäßigkeiten (die es optimalerweise nicht geben sollte) findet, die eine Eingrenzung der möglichen Werte erlauben und so die Rechenzeit verkürzen.

haxor · 20.09.2007

TrµMAn schrieb:
aber irgendwie möchte ich nicht glauben das es eine Verschlüsselung gibt die nur in eine richtung läuft
Klingt für mich einfach ... naja unlogisch ^^

http://de.wikipedia.org/wiki/Md5

TrµMAn · 20.09.2007

aber wäre es dann nicht möglich eine zufällige ursprungszeichenfolge auszugeben?
und könnte man dann mit diesem Ergebniss sich beispw. bei einem htaccess schutz anmelden?

hmn ist nicht mein thread aber ich stell jetzt hier die fragen MUHAHAH

Gast53986 · 20.09.2007

ne das mit der zufälligen ursprungszeichenfolge geht auch nicht weil man keine rückschlüsse auf den ursrung hat. man kann höchstens den hash bruten oder eine rainbowtable verwenden (liste mit ganz vielen hashes und möglichem klartext). es gibt auch viele seiten bei denen man einen hash eingeben kann und in eben so einer liste danach suchen lassen kann

cmddegi · 20.09.2007

Wobei du schon Recht hast; man braucht nur eine Zeichenfolge finden, die den gleichen Hash ergibt. Das muss nicht zwangsläufig das originale Passwort sein.

MR.Q · 20.09.2007

cmddegi schrieb:
Wobei du schon Recht hast; man braucht nur eine Zeichenfolge finden, die den gleichen Hash ergibt. Das muss nicht zwangsläufig das originale Passwort sein.

Um hier auch mal meinen Senf dazuzugeben:
klickmich

htaccess

the B_o_0_n

TrµMAn

haxor

dakkar

TrµMAn

sebhoff

dakkar

TrµMAn

dakkar

sebhoff

cmddegi

haxor

TrµMAn

Gast53986

cmddegi

MR.Q

htaccess

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums