[php] PHP_AUTH_USER

[Juri Smarschevski]

> Hello Juri,
Hi Marcel,

> JS> zum Thema Sicherheit haette ich eine Verstaendnisfrage.
> JS> Gehen wir davon aus, dass man keine SSL-Verschluesselung
> JS> einsetzt. Wie wird's dann gewaehrleistet, dass die
> JS> Passwort-Uebertragung vom Client aus, irgendwie
> JS> verschluesselt ist. Wenn ich sogar auf der Client-Seite
> JS> das Passwort via Java-Script kodiere, spricht nichts
> JS> dagegen, dass boese Jungs dieses kodierten PW
> JS> abhoeren und genauso, ohne Modifikationen an Server
> JS> senden. Oder?
>
> Du kannst phplib natürlich auch auf einen SSL Server laufen lassen und
> dann die verschlüsselten Kennwörter verschlüsselt übertragen.
> Allerdings könnte es dann immer noch sein das die boesen Jungs dann
> bei dir Einbrechen und das Passwort mit Gewalt rausfordern.

Ja, hast Du recht, nix ist unmoeglich (oder fast). Mir geht's
prinzipiell darum (egal ob PHPLIB oder eigene Scripts), dass
man die Sicherheitsgeschichte IMHO auf drei Ebenen aufteilen
kann:

1. SSL - die sicherste Methode (Scripte oder 401 Header)
2. Authentication via 401 Header - irgendwie verschluesselt (oder
nicht?)
3. Eigene Maske - keine Verschluesselung, egal was man auf
der Server- bzw. Client- Seite macht. Ausser halt zusaetzliche
Aufwaende a la TAN-Methode.

Fall's so ist, soll ich gleich beim Netto vorbeifahren, um eben
SSL Sachen zu beantragen ;-).

Gruss,
Juri