FI-DD

Hallo Leute,

ich möchte einen passwortgeschützten Mitgliederbereich einrichten und frage mich gerade, ob ich das per .htaccess oder per PHP machen sollte. Kenne mich auf dem Gebiet Login und Sicherheit kaum aus, möchte aber den Zugang zu relativ sensiblen Daten gewähren.

Ich weiß mittlerweile, daß ich mittels $_SERVER['REMOTE_USER'] auf den Benutzernamen zugreifen kann, der über die .htaccess Passwortabfrage eingegeben wurde. Mit diesem Benutzernamen kann ich ja dann aus der Datenbank die entsprechenden Daten des Nutzers holen und weiter verwenden.

Meine Frage ist nun:
Wäre diese Variante besser/sicherer als mittels PHP eine Session zu starten?

Denn für die PHP-Variante müßte ich ja ein Formular zur Verfügung stellen, welches anfällig für Mißbrauch ist, wenn man (so wie ich) nicht in der Lage ist, die Eingaben korrekt zu überprüfen. Auch von "Session-Klau" habe ich schon mal was gelesen.

Kann jemand einen Ratschlag geben?

Vielen Dank.

Mister Ad

Zergling-new

REMOTE_USER kannte ich garnicht .. war das nicht PHP_AUTH_USER und PHP_AUTH_PASSWD?

.htaccess ist halt meines erachtens nach sicher, da millionenfach im Einsatz, würde mich wundern wenn es dahingehend noch groß Sicherheitslücken im Apache gäbe.

Mit PHP und Sessions KANN man eben Mist bauen, weil man den Login ja programmiert, eine Fehlerquelle mehr: Du, der Programmierer.

Andererseits halte ich ein gut programmiertes Loginhandling auch für sicher und du bist halt flexibler im Usermanagement, weil du deinen Login über eine administrierbare Datenbank laufen lassen kannst, bei .htaccess liegt halt alles in einer Datei (an der ich nicht dauernd rumschreiben wollen würde).

Vielleicht spezifizierst du nochmal genauer deine Anforderungen und die Prioritäten: Dein Skill mit PHP, wie oft werden sich Userdaten ändern, sind sie absolut vertraulich (gut das sind alle geschützten Daten), ..

FI-DD

Danke für die schnelle Antwort.

PHP_AUTH_USER und PHP_AUTH_PASSWD sind wohl nicht verfügbar, wenn man wie ich PHP nur in der CGI-Version hat.

Ein weiterer Nachteil bei .htaccess ist auch noch, daß man sich nicht ausloggen kann, oder?

Kurz gesagt, möchte ich eine Datenbank freigeben, wo man sich anmelden muß und dann benutzerspezifische Daten anschauen kann.
Es ist also nicht lediglich ein passwortgeschützter Bereich, sondern ich muß auch wissen, wer sich angemeldet hat, damit ich ihm die entsprechenden Daten zeigen kann.

Das ganze wird nur für sehr wenige Benutzer zur Verfügung stehen. Der Benutzername wird von mir vorgegeben. Im Grunde brauche ich kein Usermanagement. Als Benutzer das Passwort ändern zu können, wäre zwar ganz nett, ist aber auch nicht so wichtig.
Den Benutzern vertraue ich voll und ganz. Angst habe ich nur vor denen, die das Login-Formular sehen und dann "rein" wollen.

Von daher tendiere ich schon zu .htaccess.

Zergling-new

Muss zugeben mit PHP-CGI hab ich noch nie gearbeitet .. wenn es dir dann eigentlich nurnoch ums Ausloggen geht, ich hab grad mal über Google "htaccess logout" gesucht, scheint wohl nur Hacks zu geben, aber vielleicht findest du ja trotzdem eine zufriedenstellende Antwort.

Aber ich wollte dich nicht verunsichern: Ein Login-Handling mit Sessions in PHP ist auch kein Hexenwerk.

XLB

N'Morgen ...

Zum "Knacken" von htacces, bzw. Basic Authentication gibt es Tools wie Brutus oder Accessdiver, die ihren Job -auch mit aktuellen Apachen- erschreckend gut erledigen (!). Das sich diese Authentifizierungsvarianten im Web halten, mag daran liegen, dass sie recht simpel zu realisieren sind und die meisten so geschützten Inhalte für Skript-Kiddies und "echte" Hacker in der Regel eher uninteressant sind und es daher nie wirklich zu einem "Angriff" kommt.

Bei einer selbst gestrickten Zugangskontrolle ist man schon flexibler, wenn es darum geht bei erkennbaren "Hacking-Attempts" adäquat zu reagieren, bzw. es gar nicht erst soweit kommen zu lassen (temporäre IP-Sperre, "Einmal-Token", Challenges, ...).

Da die blosse Existenz eines Login-Formulars tatsächlich bereits bei einigen Usern eine gewisse kriminelle Energie zu Tage fördert, könnte man dieses bei "normalen" Usern ausblenden und nur durch Eingeweihte, z. B. durch das Anhängen eines GET-Queries an die URL (?do=login) anzeigen lassen.
Nutzt man einen Browser (Firefox), bei dem man den UserAgent manipulieren kann, könnte man den Login-Dialog nur bei selbst definierten UAs anzeigen lassen.

Den Login aus dem "allgemein sichtbaren" Code rauszuhalten würde dir auch die Bots vom Hals halten, die gezielt nach "potentiell interessanten" Formularen suchen ...

Ist halt immer Frage, ob sich der Aufwand lohnt. Inwieweit könnte der zu schützende Content für andere interessant sein ....?


Gruß soweit,
Axel

Zergling-new

Naja verstecken kannst du dein Verzeichnis ja auch, wenn du htaccess verwendest, mit den Hackertools habe ich keine Erfahrung, die üblichen Logins sind ja aber gleich einfach gestrickt (kein Anti-Brutforce). Bin mit htaccecss aber immer recht gut gefahren, wenn es darum ging - wie du sagtest - schnell mal was zu schützen.

MerlinderZauberer

Hallo FI-DD,

je nach Anwenderfall benutze ich beide Varianten kombiniert.

Als erstes schalte ich eine Loginseite zur Nutzung über eine Session. Hier kann der User bereits mit vordefinierten Einstellungen diese nutzen.

Die Administrationsseiten habe ich in einem eigenen Verzeichnis mit htaccess Datei liegen. Ruft nun mein User diese Seite auf, wird er nochmals zur Autorisierung gezwungen.

Nachteil ist das merken von zwei verschieden Passwörtern.
Jedoch denke ich mal, das eine weiterer Schutz eine Hemmschwelle darstellt

Für die .htaccess Datei habe ich Gruppen mit gleichem Passwort angelegt.

Gruß

Merlin der Zauberer

__________________
www.Sternenwelt.net - Astronomie im Internet -
www.SternenweltForum.net - Antworten rund um die Astronomie -

squig

Hallo Merlin,

kann ich das per .htaccess geschützte Verzeichnis nicht direkt aufrufen, wenn ich seine URL kenne und somit den doppelten Schutz aushebeln?


Bis däähnnne.

MerlinderZauberer

Hallo squig,

Tatsächlich würde der direkte Aufruf des entsprechenden Verzeichnis eine umgekehrte Autorisierung erzeugen.

Ruft ein Angreifer den Passwort geschützten Bereich aufrufen, würde zuerst eine Abfrage durch die .htaccess Datei erfolgen.
Im Fall eines Erfolges gelangt er zwar in den Passwort geschützen Bereich, jedoch ist eine erste Autorisierung per Loginformular nicht erfolgt.

Durch meine Session- und Benutzerverwaltung wird eine nicht autorisierte Person auf ein Loginformular zurückverwiesen und dort zur Anmeldung gezwungen.
Jedes Dokument auf meinem Server startet grundsätzlich zuerst die Session- und Benutzerverwaltung und vermeidet bei geschützten Bereichen eines Zugriff auf diese.

Weiterhin habe ich die Anmeldevorgänge auf ein Minimum reduziert. Danach ist eine Anmeldung erst nach 30 Minuten wieder möglich.

Jeder Fehlversuch wird in der Datenbank für jeden Benutzer gespeichert. Somit kann ich bei Bedarf erhöhte Fehlversuche aufspüren und reagieren (Z.B. Änderung des Username, Änderung der Gruppenberechtigung)

Merlin der Zauberer

__________________
www.Sternenwelt.net - Astronomie im Internet -
www.SternenweltForum.net - Antworten rund um die Astronomie -

squig

Hallo Merlin,

nun hab ich es auch gecheckt, bin im Moment von der schnellsten Truppe


Bis dääähne.