Mailinglisten-Archive |
> Hallo, Hallo zurück, > eine kurze Frage, die zumindest teilweise offtopic ist. > > In meinen Webprojekten habe ich immer ein Verzeichnis, in dem > sich der Administrationsbereich befindet. Das Verzeichnis ist > mit einer .htaccess Datei passwortgeschützt. Wie sicher ist > eigentlich so ein Schutz mit einer .htaccess Datei? Also diese Frage passt eher in eine Liste, die sich mit dem Apachen beschäftigt. Prinzipiell muß man die .htaccess-Datei so anlegen, dass sie nur von übergeordneten Benutzern eingelesen oder verändert werden kann. Macht ja auch keinen Sinn, wenn ich mit einem PHP-Script mit fopen() die Datei bearbeiten könnte. Weiterhin sollte man versuchen, mit dem Apachen auf dem neuesten Stand zu bleiben, um entdeckte Lücken möglichst umgehend zu schließen. Ich bin der Ansicht, dass man dann als Administrator schon eine Menge getan hat, was der Sicherheit nützlich ist. > Ich weiss natürlich, dass jeder, der das Passwort kennt oder > erraten kann, auf den geschützten Bereich zugreifen kann. > Dieses Risiko versuche ich durch häufiges Ändern des > Passworts zu umgehen, aber dies ändert natürlich nicht so viel. > Wichtig ist meines Erachtens nicht ganz so sehr die Häufigkeit einer Passwortänderung, sondern die Wahl des korrekten Passworts. Wenn ich ein schwaches Passwort nehme, ist dieses über entsprechende Angriffe recht einfach zu ermitteln (auch durch Ausprobieren). Wenn ich aber ein starkes Passwort nutze, benötigt man je nach Länge und Anzahl unterschiedlicher Zeichengruppen ggf. mehere hundert Jahre, um alle erdenklichen Möglichkeiten auszuprobieren. Um diesen Thread nicht weiter auszubauen, schau Dir mal diese Seite an, hier findest Du auch ein Forum (Über Hilfe -> Forum), in das Du Deine Frage vielleicht noch mal posten kannst: http://apachefriends.org Grüße Tim
php::bar PHP Wiki - Listenarchive