htaccess als Login-Methode für Admin-Skript

  • Ich möchte eine Website erstellen und dazu ein kleines PHP-Skript bei dem man sich einloggen muss und die Inhalte der Website ändern kann. Es wär also nichts wirklich sicherheitskritisches, trotzdem wollte ich es ordentlich machen. Mein Plan war, den Login rein mit PHP zu lösen, allerdings müsste ich mich da noch einlesen. Ein ziemlich einfacher und schneller Weg wäre es, das Admin-Skript einfach in einen Ordner zu geben und den mit htaccess zu schützen. Spricht da irgendetwas dagegen?

    There's no better place than 127.0.0.1!

    Einmal editiert, zuletzt von java-girl (31. August 2014 um 18:06)

  • Ein ziemlich einfacher und schneller weg wäre es, das Admin-Skript einfach in einen Ordner zu geben und den mit htaccess zu schützen. Spricht da irgendetwas dagegen?

    Spontan fallen mir jedenfalls keine Probleme ein, die mit dem von dir angesprochenen PHP-basierten Login nicht auftreten würden (z.B. Passwörter, die im Klartext über das Netzwerk verschickt werden). Ich würde in dem Fall sogar HTTP Authentication gegenüber einer PHP-Lösung den Vorzug geben, da es einfacher zu implementieren ist und man daher weniger Fehler machen kann.

  • Spontan fallen mir jedenfalls keine Probleme ein, die mit dem von dir angesprochenen PHP-basierten Login nicht auftreten würden (z.B. Passwörter, die im Klartext über das Netzwerk verschickt werden). Ich würde in dem Fall sogar HTTP Authentication gegenüber einer PHP-Lösung den Vorzug geben, da es einfacher zu implementieren ist und man daher weniger Fehler machen kann.

    Das hört sich schon mal gut an. Das mit den Passwörtern im Klartext ließe sich ohnehin nur durch die Verwendung von https verhindern, oder? (Das ist aus Kostengründen nicht drinnen bzw. ist es bei der Anwendung wirklich nicht kritisch, wenn sich da wer reinhackt).

    There's no better place than 127.0.0.1!

  • Das mit den Passwörtern im Klartext ließe sich ohnehin nur durch die Verwendung von https verhindern, oder?

    Du kannst Digest authentication verwenden, dann wird ein MD5-Hash übertragen. MD5 wird zwar auch nicht mehr als sicher angesehen, besser als Klartext ist es aber allemal.

  • Du kannst Digest authentication verwenden, dann wird ein MD5-Hash übertragen. MD5 wird zwar auch nicht mehr als sicher angesehen, besser als Klartext ist es aber allemal.

    Mhm. Da bin ich halt auch auf den Hoster angewiesen - bis jetzt konnte ich noch keine Info darüber finden, ob ich das auf meinem Webspace verwenden/einrichten kann. Hab jetzt einmal eine Support-Anfrage gesendet und warte auf Antwort.

    There's no better place than 127.0.0.1!

  • Du kannst Digest authentication verwenden, dann wird ein MD5-Hash übertragen. MD5 wird zwar auch nicht mehr als sicher angesehen, besser als Klartext ist es aber allemal.

    Sollte imho egal sein, da in der Kommunikation ein nonce eingebaut ist, und über nonce + pw + username gehasht wird (sonst könnt ja jeder einfach daher kommen, den Hash vom User abfangen und als Replayattacke nochmal schicken um sich einzuloggen). Die Unsicherheit an MD5 ist ja nur, dass Kollisionen gefunden werden können. Solange der Klartext aus nonce + pw + username nicht herleitbar ist (und das ist bei Kollisionsfindung ja nicht der Fall), bringt einem eine gefundene Kollision die den gleichen Hash erzeugt herzlich wenig.

    Wikipedia dazu:

    Zitat von http://en.wikipedia.org/wiki/Digest_access_authentication#Impact_of_MD5_security_on_digest_authentication


    However, claims in 2006[2] cause some doubt over other MD5 applications as well. So far, however, MD5 collision attacks have not been shown to pose a threat to digest authentication, and the RFC 2617 allows servers to implement mechanisms to detect some collision and replay attacks.

    Wenn wär was genaueres zum Stand von MD5 wüsste - wäre cool. ^^

    l.g.

  • Wenn Du es mit PHP löst muss jede Seite abfragen ob der User eingeloggt ist. Das kannst Du in die Session-Variablen speichern oder ein Framework nutzen, dass eine Login / Logout Routine mitliefert. Du kannst das Passwort entweder als MD5 + Salt in den Source-Code schreiben oder in eine Datenbank. Die Benutzereingabe wird dann auch gesaltet und der MD5 zum Abgleich berechnet.

  • das war aber nicht die frage.

    Otto: Apes don't read philosophy. - Wanda: Yes they do, Otto, they just don't understand
    Beleidigungen sind Argumente jener, die über keine Argumente verfügen.
    «Signanz braucht keine Worte.» | «Signanz gibts nur im Traum.» 

    Das neue MTB-Projekt (PO, Wiki, Mitschriften, Ausarbeitungen, Folien, ...) ist online
    http://mtb-projekt.at

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!