[php] PHP_AUTH_PW

[Kai Stukenbrock]

> Die .htaccess-Authentifikation gilt für ein bestimmtes Verzeichnis und
> alle seine Unterverzeichnisse. Vor deren Inhaber und dem Abrufer sind die
> Daten nicht schutzbedürftig - im Gegenteil. Was der Server dann mit den
> Daten macht, entzieht sich dem Abrufer - herumtratschen wäre aber eher
> kontraproduktiv ;-) Im Serverlog erscheint üblicherweise nur der Username;
> der Admin weiß dann ja Bescheid. 

Hm, aber die Authentifikations-Angaben werden weiterhin vom 
Browser gesendet, wenn ich in ein anderes Verzeichnis gehe (kein 
Unterverzeichnis des authentizierten Verzeichnisses), was mir als ein 
mögliches Sicherheitsrisiko erscheint!?! Denn ganz trivial sind die 
Passwörter ja nicht.

Wenn ich z.B. in www.meinserver.de/phpMyAdmin phpMyAdmin 
benutze, mit advanced authentication, dann muß ich bei Zugriff einen 
Username und ein PW eingeben, die bestimmte Rechte in meiner 
mySQL Datenbank haben.

Wenn ich anschließend z.B. zu www.meinserver.de/~user wechsele, 
dann werden Username und PW weiterhin mitgesendet, und können 
via PHP ausgelesen werden. Der entsprechende user weiß zwar 
vielleicht nicht unbedingt, wofür die Username/PW Kombination gut ist, 
könnte aber im Laufe der Zeit an einige Usernames und PWs 
herankommen und zudem noch die dazugehörigen IPs loggen!? Damit 
könnte doch Unfug angestellt werden?

Oder sehe nur ich da ein Problem drin? Oder ist das gar kein Problem?

Und wie sieht es aus, wenn ich anschließend eine andere URL aufrufe, 
außerhalb von www.meinserver.de. Werden die Username und PW 
dann immer noch mitgesandt?

Verwirrt.
Kai.