Was ist sicherer: htaccess oder MySQL-Login?

Alles, was den Apache betrifft, kann hier besprochen werden.

Was ist sicherer: htaccess oder MySQL-Login?

Postby nasoe » 17. June 2004 08:05

Hi,

eigentlich steht die Frage ja schon im Titel...
Was meint Ihr, was ist sicherer, so ganz pauschal?
... und wenn die Welt voll Groschen wär,
dann wär sie eine Parkuhr...
nasoe
 
Posts: 9
Joined: 09. June 2004 07:10

Postby DJ DHG » 17. June 2004 09:07

Moin Moin

mach es mit "Auth_MySQL", dann geht beides.

ich würde htacces ohne mysql nutzen, und die .htuser nicht im webroot speichern.

mfg DJ DHG
User avatar
DJ DHG
AF Moderator
 
Posts: 2455
Joined: 27. December 2002 13:50
Location: Kiel

Postby daxim » 17. June 2004 23:51

nasoe, du stellst eine unsinnige Frage, denn auch mod_auth_mysql benutzt .htaccess, nur dass die Autorisierungs-/Benutzerdaten nicht in einer Datei liegen, sondern in einer Datenbank.

Zur Basic-Authentifizierung, wie sie gemeinhin in .htaccess eingesetzt wird, kann ich sagen, dass sie insofern unsicher ist, da die Passwörter unverschlüsselt übertragen werden. (Eigentlich Base64-kodiert, aber das ist leicht rückgängig zu machen.)
Das eröffnet Snooping- und Replayattacken.

Die Digest-Authentifizierung überträgt bloß nur noch einen Extrakt des Passworts, ist aber immer noch anfällig gegenüber Replayattacken.

Die Probleme unterbindest du einfach und billig durch den Einsatz von SSL/https.
daxim
 
Posts: 53
Joined: 04. June 2004 20:45

Postby nasoe » 21. June 2004 14:43

Ich habe ja nicht nach dem mod gefragt, da es ja auch ohne weiteres möglich ist, zugangskontrollen mit MySQL über irgendwelche wilden Sessions etc. ohne htaccess zu realisieren.
Ganz so unsinnig war die Frage also nicht...

Werde wohl der Empfehlung von DJ DHG folgen.

Besten Dank dafür.
... und wenn die Welt voll Groschen wär,
dann wär sie eine Parkuhr...
nasoe
 
Posts: 9
Joined: 09. June 2004 07:10

Postby Wiedmann » 21. June 2004 15:19

Ich habe ja nicht nach dem mod gefragt
Ganz so unsinnig war die Frage also nicht...

Hmm, wie sicher oder unsicher "auth basic" ist, hat dir daxim ja eigentlich gut erklärt. Und das war ja deine Frage.

Der Unterschied zu dem von dir benutztem "mod_auth" und dem hier noch erwähnten "mod_auth_mysql" liegt 'nur' darin, wo die Benutzerdaten gespeichert werden.

Mit MySQL-Login meinst du wohl die Passwortüberprüfung in einem Script, dass die Daten aus der Datenbank bekommt? Da ist es so ähnlich. Wo das Script seine Daten herbekommt ist 'fast' egal. Auch ein Script könnte die Daten aus einer plain-text Datei holen. Auch da kommt ja erst mal die Kommunikation zwischen Browser und Server.

MySQL hat halt in beidem Fällen den Vorteil der besseren Benutzerverwaltung. Insbesondere wenn man eh schon Tabellen für seine Benutzer hat. (Muß man die Benutzer nicht doppelt verwalten).
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany


Return to Apache

Who is online

Users browsing this forum: No registered users and 203 guests