Wie sicher ist .htaccess wirklich?

[kein Name]

Da ich in der Suche nichts gefunden habe, erstelle ich ein neues Thema.
Ich habe einen Bereich auf meiner Homepage mit einer .htacces Datei passwortgeschützt. Die .htuser Datei ist nicht im Webordner und mit md5 verschlüsselt.
Software:
Mac OS 10.4.2 Tiger
MAMP 1.0.1: Apache 2.0.54
PHP 5.0.4
MySQL 4.1.12
Konfiguration ist Standard.

Gibt es eine Möglichkeit auf den geschützten Bereich zuzugreifen ohne das Passwort zu wissen?
Wie groß ist der Aufwand?
Welches Sicherheitsrisiko gehe ich mit ein Klartext-Übertragung ein?
Soll ich in der Standardkonfiguration noch etwas verändern, um die Sicherheit zu erhöhen?
Kann ich eine SSL Verbindung einrichten und wie schwierig ist das?

Danke schon mal für die Antworten.

 

[sECuRE]

Hi,

ich behaupte einfach mal, außer durch Bruteforce ist es nicht knackbar. Ich kenne zumindest keine andere Möglichkeit.

cu

 

[Suzanvega]

Keine Chance !!!

Es gibt keine Möglichkeit vom Netz aus eine Datei auszulesen, die sich nicht im Web-Root-Verzeichnis (oder innerhalb dieser Ordnerstruktur) des Webservers befindet. Was nicht da ist, kann also nicht gefunden und entschlüsselt werden.

Nur ein Zugriff hintenrum, direkt auf den Rechner (etwa eine SSH-Verbindung oder SFTP) ermöglicht den Zugriff auf die gesamten Daten des Volumes. Über Port 80 ist also .htaccess mehr als sicher.

Eine Verschlüsselung mit SSL macht die Sache ansich auch nicht besser. Diese Verschlüsselung dient eigentlich nur dazu, daß niemand "mithören" kann was gerade übertragen wird.

Also entweder man weiß das Kennwort im .htaccess-Bereich oder man weiß es nicht. Manuell beißt man sich dort die Zähne aus. Daher haben ja auch clevere Passwortknacker einen Passwortgenerator entwickelt. Dieser ruft aus seiner internen Datenbank in sekundenschnelle potentielle Passwörter ab und vergleicht sie mit der .htaccess-Ausgabe des Webservers. Wenn eine Übereinstimmung gefunden wurde, zeigt der Generator das an. Und der Hacker erhält uneingeschränkten Zugang zum Web-Content.

Es hängt also viel von der Auswahl deines Passwortes ab. Umso kaotischer man die Zusammensetzung des Kennwortes gestaltet, umso größer ist die Chance, daß ein Passwortgenerator diese Zeichenfolge nicht enthält.

Dazu sollte man in etwa Zahlen und Buchstaben in einer Kombination mischen, daß diese keine bekannten Wörter, Begriffe, Geburtsdaten oder Namen enthalten. (23eRR78jKyc4711)

Sicher kann man sich diese Kennworte so gut wie gar nicht merken, aber das Einprägen eines Passwortes ist auch nicht der Sinn von diesem Prinzip.
Man muß es sich eben aufschreiben und an sicherer Stelle verwahren. Genau wie man die PIN immer mit der Kreditkarte zusammen im Portemonais aufbewahren sollte, damit es der Finder/Dieb der Geldbörse nicht allzu unbequem hat an das Geld zu gelangen. Denn wer möchte heute schon gern ohne PIN-Code vor dem Automaten stehen? Zumal bei der dritten falschen Eingabe der PIN die Karte einfach einbehalten wird.

 

[Azathoth]

SSL macht insofern sinn, als dass damit das mithören des passwortes nicht möglich ist.

stell dir mal folgende situation vor:
du sitzt an einem öffentlichen platz (uni/café etc.) und surfst per WLAN, oder bist in einem größeren netzwerk eingeloggt (firma etc.). du rufst deine sichere website auf und gibst dein passwort ein. ein anderer benutzer im netzwerk hat, ohne das du es bemerkt hast den gesamten traffic über seinen computer umgeleitet (das ist ohne probleme möglich, sogar schon mittels "klicki bunti" unter WIN). er kann jetzt jedes zeichen sehen das übertragen wird und somit auch passwörter, ein paar beispiele: POP3, IMAP, SMTP, .htaccess, FTP usw.

durch SSL wird sichergestellt dass ZUERST eine verschlüsselte leitung aufgebaut wird und dann erst das passwort übertragen. somit sieht der freundliche hacker kollege nur noch nichtssagende zeichen folgen über seinen bildschirm huschen.

natürlich ist auch SSL keine absolute lösung, da eine "Man In The Middle" attacke selbst SSL "abhören" kann, allerdings ist das etwas aufwändiger und würde hier zu weit führen.

sprich: es hängt alles von der sensibilität deiner daten ab, je nachdem müssen die sicherheitsmaßnahmen angepasst werden.

 

[Incoming1983]

Der Man in the Middle Angriff kann wiederum durch entsprechende Zertifikate erheblich erschwert werden, soweit ich informiert bin.

die .htaccess ist, richtig eingesetzt, sicher.

Und SSL würde ich in jedem Falle benutzen, wenn sensible Daten übertragen werden, da sonst, wie bereits gesagt, der Verkehr einfach mitgehört werden kann.

Der Aufwand SSL einzurichten, sollte nicht allzu groß sein. Schau im Handbuch deines Webservers nach.

 

[kein Name]

Danke für die Antworten.
Außer HTTP habe ich in diese Richtung keine Dienste mehr laufen.
Das Passwort zu senden ist halt immer ein Sicherheitsrisiko ohne dem es ja nicht geht
Das Passwort durch probieren herauszufinden ist eigentlich auch immer eine theoretische Möglichkeit sich einen Zugangs zu verschaffen.

Welche Fehler könnte man machen .htaccess falsch einzusetzen?

Mit diesen beiden Schwachpunkten habe ich gerechnet und kann damit leben, aber dass es nicht mehr gibt, hätte ich nicht gedacht.

Ich versuche jetzt noch eine SSL-Verbindung einzurichten. Was ist dann noch der Unterschied mit einem Zertifikat?

 

[Knurrhahn]

Ssl

Keine Chance !!!
Eine Verschlüsselung mit SSL macht die Sache ansich auch nicht besser. Diese Verschlüsselung dient eigentlich nur dazu, daß niemand "mithören" kann was gerade übertragen wird.

Nicht ganz: SSL kann auch zur Authentifizierung benutzt werden, also um abzusichern, dass Du wirklich auf deinem Server bist und nicht auf einem, der nur so tut.

Abgesehen davon wird das PW auch verschlüsselt Übertragen. Htaccess ist bis jetzt nicht geknackt, doch das Passwort wird plain übertragen und kann sehr einfach abgefangen werden.

Hätte ich eine ****sammlung, würde ich sie meinen Freunden und Verwandten nur über htaccess und ssl freigeben.

 

[dms]

Bevor Du Dir Gedanken über SSL machst, würde ich einmal prüfen ob Deine Scripte auch sicher sind. Viele binden einfach irgendwelche Dateien ein, deren Name über die URL kommt. In dem Fall nutzt Dir kein Passwortschutz der Welt etwas.

Was ist dann noch der Unterschied mit einem Zertifikat?

Bin kein Profi im Bereich SSL, aber ich vermute mal die Bit-Tiefe. Beim Kauf/Erstellen des Zertifikates kannst Du angeben mit wieviel Bit das Zertifikat verschlüsselt ist.

 

[Azathoth]

der unterschied eines zertifikates liegt keinesfalls in der verschlüsselung, die ist gleich sicher mit und ohne. der unterschied ist, dass ein zertifikat sicherstellt dass der server den du erreichen wolltest, auch der ist der dir antwortet, denn wenn sich jemand dazwischen setzt (man-in-the-middle attacke) dann ist das warscheinlich nicht derjenige mit dem du deine verschlüsselten daten austauschen willst.

darum BITTE niemals eine zertifikats warnung einfach so wegklicken, das system ist nur sicher wenn sich die user bewusst sind dass sie LESEN müssen was im zertifikat steht um herauszufinden ob der kommunikationspartner der gewünschte ist.

 

[Incoming1983]

Das Zertifikat ist einerseits von jemand anders signiert, um die Authentizität des Servers bzw. auch des Clients zu gewährleisten, andererseits enthält es die public keys, die zur Verschlüsselung später genutzt werden, sowie einige Meta-Angaben.

 

[BEASTIEPENDENT]

Kann ich eine SSL Verbindung einrichten und wie schwierig ist das?

das kommt in erster linie auf deinen server und/oder provider/hoster an, ist insofern nicht pauschal zu beantworten. wo hast du denn einen mac os-server stehen?

 

[kein Name]

das kommt in erster linie auf deinen server und/oder provider/hoster an, ist insofern nicht pauschal zu beantworten. wo hast du denn einen mac os-server stehen?

In meinen Zimmer, aber der Läuft nachts nicht mehr. Jetzt bin ich bei b-one.net.

 

[HubertusBe]

Später Nachtrag:

Hier habe ich einen sehr empfehlenswerten Artikel sowie eine gutes Tutorial zum Thema .htaccess gefunden (auf englisch).

Gruß, Hubertus