BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Wie sicher ist ein HTTP Schutz? (http://www.black-board.net/thread.php?threadid=12665)

Geschrieben von Security am 27.06.2003 um 12:48:

  Wie sicher ist ein HTTP Schutz?

hi,

wie man sieht bin ich neu heir Augenzwinkern
deshalb erst einmal hallo.
also jetzt zu meiner frage

viele websites haben eine admin-seite
www.seite.de/admin oder so.
wie sicher ist der hhtp- schutz?
kann so etwas leicht geknackt werden?
kann ein angreifer ein tool verwenden, dass passwortlisten verwendet oder sind solche zugänge dagegen geschützt?


Geschrieben von Zirias am 27.06.2003 um 15:12:

  RE: Wie sicher ist ein HTTP Schutz?

Zitat:
Original von Security
wie sicher ist der hhtp- schutz?

Ich nehme an, du meinst HTTP-Auth ...
Der ist sofern du keine unsicheren Scripte auf dem Serevr hast, die es plötzlich erlauben, .htpasswd (oder wo auch immer das PW drinsteht) auszulesen, einfach so sicher wie der Webserver.
Zitat:
kann so etwas leicht geknackt werden?

Darauf ein entschiedenes "Kommt darauf an". Im Allgemeinen nicht, aber es gibt immer wieder ausnahmen (eben z.B. durch fehlerhafte/schlecte Scripts)
Zitat:
kann ein angreifer ein tool verwenden, dass passwortlisten verwendet oder sind solche zugänge dagegen geschützt?

Nichts hält ihn davon ab ... bei einem nur einigermaßen vernünftig gewählten Passwort darf er dann warten, bis er schwarz wird smile

Greets, Ziri


Geschrieben von Security am 30.06.2003 um 07:41:

 

vielen dank für die kompetente antwort.


Geschrieben von Black Star am 30.06.2003 um 10:36:

 

folgendes sei dir mal ans herz gelegt: http://httpd.apache.org/docs-2.0/howto/auth.html
das ist eine beschreibung des auth-mechanismus beim apache-webserver (version 2.0)

dein passwort wird gehashed auf dem sever in einer datei gespeichert (.htpasswd meistens). diese datei liegt sinnvollerweise an einer stelle, an die man von aussen nicht drankommt (es sei denn durch fehlerhafte scripte, wie zirias schon erwähnte).

die einzige möglichkeit, von aussen ist (ohne an die .htpasswd-datei zu kommen) brute-forcing.
und dadrauf dürften die webhoster alergisch drauf reagieren, und die polizei kommt dich schneller besuchen, als du "brute-forcing" aussprechen kannst.

sollange dein webserver up-to-date ist, und alle patches installiert sind, und du keine dummen fehler in deine scripte eingebaut hast (immer vorsicht bei dateizugriffen - niemals per post-parameter direkt eine datei laden lassen, z.B.), sollte die ganze sache zu den sichersten gehören, die es auf diesem gebiet gibt.


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH