Wie sicher ist ein HTTP Schutz? |
Security
Neuling
Dabei seit: 27.06.2003
Beiträge: 20
Herkunft: Stuttgart
|
|
Wie sicher ist ein HTTP Schutz? |
|
hi,
wie man sieht bin ich neu heir
deshalb erst einmal hallo.
also jetzt zu meiner frage
viele websites haben eine admin-seite
www.seite.de/admin oder so.
wie sicher ist der hhtp- schutz?
kann so etwas leicht geknackt werden?
kann ein angreifer ein tool verwenden, dass passwortlisten verwendet oder sind solche zugänge dagegen geschützt?
__________________ Wir haben keine Chance, nutzen wir sie!
|
|
27.06.2003 12:48 |
|
|
Zirias
BlackBoarder
Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom
|
|
RE: Wie sicher ist ein HTTP Schutz? |
|
Zitat: |
Original von Security
wie sicher ist der hhtp- schutz? |
Ich nehme an, du meinst HTTP-Auth ...
Der ist sofern du keine unsicheren Scripte auf dem Serevr hast, die es plötzlich erlauben, .htpasswd (oder wo auch immer das PW drinsteht) auszulesen, einfach so sicher wie der Webserver.
Zitat: |
kann so etwas leicht geknackt werden? |
Darauf ein entschiedenes "Kommt darauf an". Im Allgemeinen nicht, aber es gibt immer wieder ausnahmen (eben z.B. durch fehlerhafte/schlecte Scripts)
Zitat: |
kann ein angreifer ein tool verwenden, dass passwortlisten verwendet oder sind solche zugänge dagegen geschützt? |
Nichts hält ihn davon ab ... bei einem nur einigermaßen vernünftig gewählten Passwort darf er dann warten, bis er schwarz wird
Greets, Ziri
__________________ palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+
|
|
27.06.2003 15:12 |
|
|
Security
Neuling
Dabei seit: 27.06.2003
Beiträge: 20
Herkunft: Stuttgart
Themenstarter
|
|
vielen dank für die kompetente antwort.
__________________ Wir haben keine Chance, nutzen wir sie!
|
|
30.06.2003 07:41 |
|
|
Black Star
Der Pate [Admin]
Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr
|
|
folgendes sei dir mal ans herz gelegt: http://httpd.apache.org/docs-2.0/howto/auth.html
das ist eine beschreibung des auth-mechanismus beim apache-webserver (version 2.0)
dein passwort wird gehashed auf dem sever in einer datei gespeichert (.htpasswd meistens). diese datei liegt sinnvollerweise an einer stelle, an die man von aussen nicht drankommt (es sei denn durch fehlerhafte scripte, wie zirias schon erwähnte).
die einzige möglichkeit, von aussen ist (ohne an die .htpasswd-datei zu kommen) brute-forcing.
und dadrauf dürften die webhoster alergisch drauf reagieren, und die polizei kommt dich schneller besuchen, als du "brute-forcing" aussprechen kannst.
sollange dein webserver up-to-date ist, und alle patches installiert sind, und du keine dummen fehler in deine scripte eingebaut hast (immer vorsicht bei dateizugriffen - niemals per post-parameter direkt eine datei laden lassen, z.B.), sollte die ganze sache zu den sichersten gehören, die es auf diesem gebiet gibt.
__________________
vescere bracis meis
|
|
30.06.2003 10:36 |
|
|
|