BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Ist diese .htacces sicher? (http://www.black-board.net/thread.php?threadid=14912)

Geschrieben von Da Cracker am 01.12.2003 um 20:45:

  Ist diese .htacces sicher?

ort der .htaccess und .htpasswd: in einem vom Web aus erreichbaren Verzeichniss (ab Site)
Müsste der 1. Fehler sein oder? Nehmen wir an ich nehme ein nicht vom Web aus erreichbaren Ordner, wie muss ich die folgende .htacces umschreiben?

AuthUserFile /homepages/0/546745674562/htdocs/site/admin/.htpasswd
AuthName "6757657 Administratorbereich"
AuthType Basic
require valid-user


Geschrieben von Crack02 am 01.12.2003 um 20:57:

 

also ich hab mich noch end näher mit htaccess auseinandergesetz aber es is eigentlich sehr sicher. ist meistens nur per bruce force zu knacken.


Geschrieben von Da Cracker am 01.12.2003 um 21:00:

 

sicher?
der Bereich muss absulut sicher sein.
es gibt doch zur zeit diesen Thread hier im Board (HackIts).
Dort hatte ich mal nebenbei gelesen das sie die .htaccess usw. per bruteforce attackieren konnten.
In wie fern soll man an die .htaccess in diesem Fall den heran kommen?
per http gibts logischer weise nur ein error 403: Forbidden!
aber wie siehts mit......?!?!?!?.....aus?
auch einen anonymouse-ftp-login gibt es nicht.

weiterhin sind die .htaccess in keinster weise "gelinkt", und sollten durch die interne logfunktion unterdrückt sein. (also ich meine damit sie werden nicht beachtet bzw angezeigt)


Geschrieben von Crack02 am 01.12.2003 um 21:45:

 

weißt du überhaupt was bruce force is?

btw es geht nur anonymous login wenn man auch einen anonymous account gemacht hat.


Geschrieben von Da Cracker am 01.12.2003 um 21:50:

 

ach nee.
ich und nicht wissen was eine der bekanntesten Methoden zum Passwort-Trying ist. Also bitte so etwas, !mir!, zu unterstellen....nee nee nee
Baby

ach nee.
hätte ich ja nicht gedacht. (->anonymouse)
"ich bin ja so blöd...."


entwerder hast du mich falsch verstanden oder ?!??!

edit: könntest du das "attackieren" falsch verstanden haben? ich meine damit das oben genannte smile


Geschrieben von Crack02 am 01.12.2003 um 21:51:

 

kommt drauf an wie mans auslegt großes Grinsen


Geschrieben von Da Cracker am 01.12.2003 um 21:53:

 

jetzt aber bitte beim Thema bleiben.
ähm; und die meinst wirklich "Bruce Force"?
so etwas hast du jetzt ja mehrmals hier her geposted
wir möchten hier bei dem allgemein bekannten "Brute Force" bleiben Augenzwinkern


Geschrieben von Black Star am 01.12.2003 um 21:54:

 

Immer ruhig bleibenAugenzwinkern

Bei den Hackits war das ein kombiniertes Hackit.
Mit einem "Fehler" in einem PHP-script konnte man die htaccess auf seinen Rechner ziehen, und lokal cracken. Und das geht natuerlich wesentlich schneller und ohne das man Gefahr laeuft geloggt zu werden.

Du musst halt drauf achten, dass keine anderen Sicherheitsluecken entstehen, wodurch man an die htaccess und die htpasswd kommen kann.


Geschrieben von LX am 01.12.2003 um 22:23:

 

Wenn die .htpasswd ebenfalls in einem geschützten Verzeichnis liegt und keine äußeren Lücken (Scriptfehler o.ä.) vorhanden sind, ist .htaccess ziemlich sicher.


Geschrieben von Da Cracker am 01.12.2003 um 22:25:

 

klar doch - beide sind im selben verzeichniss.


Geschrieben von Security am 02.12.2003 um 08:41:

 

wenn du dann noch ein sicheres passwort hast, ist es bombensicher!!!
brute force attacken kannst du am logfile erkennen!


Geschrieben von zampano am 02.12.2003 um 12:05:

 

Zitat:
Original von Crack02
weißt du überhaupt was bruce force is?
Augen rollen

Bruce Force? Kenn ich nicht! großes Grinsen


Geschrieben von Crack02 am 02.12.2003 um 18:05:

 

klugscheißer. jeder macht mal fehler


Geschrieben von 01746948553 am 27.12.2003 um 11:47:

 

da geb ich dir recht.


Geschrieben von 01746948553 am 27.12.2003 um 11:49:

 

brute force ist english und bedeutet rohe gewalt. bei brute force werden alle passwörter nach der reihe zum beispiel von 000000000000000 bis 9999999999999999 und auch die Buchstaben alle ausprobiert. meist ist die methode etwas zeitaufwendig, aber sie ist dann doch ganz erfolgreich.


Geschrieben von Genio am 27.12.2003 um 11:55:

 

Zitat:
Original von 01746948553
brute force ist english und bedeutet rohe gewalt. bei brute force werden alle passwörter nach der reihe zum beispiel von 000000000000000 bis 9999999999999999 und auch die Buchstaben alle ausprobiert. meist ist die methode etwas zeitaufwendig, aber sie ist dann doch ganz erfolgreich.


moin

Doppelposts sind Unverzeilich

mir wär neu das "force" gewalt bedeutet, für mich war das immer noch violence Augen rollen

brute force ist wirklich was für kiddies
bei wirklich gut gesicherten bereichen is brute fore jahre lang dabei

es gitb möglichkeiten, dazu geht man aber eher ins Hack IT forum

mfg the Genio


Geschrieben von Compuholic am 29.12.2003 um 11:19:

 

Zitat:
Original von Da Cracker
klar doch - beide sind im selben verzeichniss.


Das kann ganz böse ins Auge gehen. In den ersten Versionen des Apache Webservers, war es möglich auf die Datei zuzugreifen. Jetzt findet sich in der Standard-Config eine Einstellung, die das verhindert.

Wenn Du sicher gehen willst, daß überprüfe mal, ob in deiner Apache-Config ob der Zugriff auf Datei die mit ".ht" beginnen geblockt wird.


Geschrieben von Da Cracker am 29.12.2003 um 11:23:

 

jo.
die dateien werden wunderbar (mit einen forbidden 403) von meinen apache ausgefiltert.
danke für die informationen.


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH