 |
| Hinweise |
Willkommen im TP-Hilfe-Forum!Dies ist ein Forum zu den Themen Photoshop, Dreamweaver, Flash, Selbständigkeit und mehr, in dem Du Hilfe, Anleitung oder eine Lösung zu Deinen Problemen erhältst. Aktuell bist Du in unseren Foren als Gast mit reinen Leserechten unterwegs. Wenn Du Dich registrierst, kannst Du eigene Themen verfassen, Fragen stellen und privat mit anderen TPlern kommunizieren. Weitere Foren werden zugänglich, und Du wirst – falls gewünscht – per Mail über neue Beiträge informiert. Die Registrierung ist schnell und kostenlos. Sollten bei der Registrierung Fragen auftauchen, reicht ein Klick in unsere Hilfe - Häufig gestellte Fragen oder eine kurze Mitteilung an das Support-Team. Viel Spaß bei Traum-Projekt.com |
27.10.2007, 19:41
|
#1
|
|
TP-Moderator
Registriert seit: Nov 2004
Ort: Wuppertal
|
Problem beim Weiterleiten auf SSL-Verbindung
Hallo zusammen,
ich möchte den Adminbereich einer Seite neben der Authentifizerung des Systems selber zusätzlich mit .htaccess schützen.
Weil ich in der Vergangenheit aber erleben durfte, wie begeistert im Netz meiner Schule die Datenpakate von anderen Schülern Raum gesnifft wurden möchte ich das Ganze über eine SSL-Verbindung mit 256 Bit AES sichern lassen.
Ich habe also jetzt ins Verzeichnis des Adminbereichs eine .htaccess-Datei mit folgendem Inhalt angelegt:
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://www...........de/admin/$1 [R]
AuthUserFile ........./.htpasswd
AuthName "Adminbereich"
AuthType Basic
<Limit GET POST PUT>
require user XXXX XXXXX
</Limit>
Wenn ich also nun das Verzeichnis admin aufrufe, werde ich auch sofort und widerstandslos auf eine SSL-Gesicherte Verbindung weitergeleitet.
Mir geht es aber vorrangig um das unverschlüsselt übertragene Passwort durch den .htaccess-Schutz, denn das wird scheinbar nicht verschlüsselt übertragen.
Wenn ich die Seite aufrufe, werde ich nach Benutzername und Kennwort gefragt. Gebe ich dieses ein, kommt erst dann die Sicherheitswarnung wegen dem selbstsignierten Zertifikat und dann werde ich nochmal nach Benutzername und Kennwort gefragt (welche dann erst verschlüsselt übertragen werden), danach sehe ich auch tatsächlich die Seite.
Was muss oder kann ich ändern, damit das Kennwort bereits über die Verschlüsselte Verbindung übertragen wird (außer die Seite direkt mit https:// aufzurufen - sollen ja andere auch benutzen)?
Danke schonmal
__________________
Chuck Norris darf während der Fahrt mit dem Busfahrer sprechen!
|
|
|
|
24.12.2007, 23:39
|
#2
|
|
TP-Supporter
Registriert seit: Nov 2007
Ort: München
|
Ist zwar auch schon ein bisserl her, sicher hast du schon ein Lösung.
Meine Meinung: Nimm nicht AuthType Basic, sondern AuthType Digest.
siehe:
http://fachschaft.physik.uni-greifsw...ch/apache.html
Zitat:
|
Zitat von http://httpd.apache.org/docs/1.3/howto/auth.html
Before you leap into using digest authentication instead of basic authentication, there are a few things that you should know about.
Most importantly, you need to know that, although digest authentication has this great advantage that you don't send your password across the network in the clear [...]
Next, with regard to security considerations, you should understand two things. Although your password is not passed in the clear, all of your data is, and so this is a rather small measure of security. And, although your password is not really sent at all, but a digest form of it, someone very familiar with the workings of HTTP could use that information - just your digested password - and use that to gain access to the content, since that digested password is really all the information required to access the web site.
The moral of this is that if you have content that really needs to be kept secure, use SSL.
|
gruss, Karsten |
|
|
|
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
|
| Themen-Optionen |
Thema durchsuchen |
|
|
|
| Thema bewerten |
|
|
Forumregeln
|
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 14:34 Uhr.
|
|
