[php] =?ISO-8859-1?Q?Re:=20[php]=20Re:=20Passwortschutz=20=FCber.htacc?= =?ISO-8859-1?Q?ess?= =?ISO-8859-1?Q?ess?=

[Peaveway_(at)_aol.com]

Moin,

In einer eMail vom 18.02.01 12:17:22 (MEZ) Mitteleuropäische Zeit schreibt 
mailings_(at)_klaessner.de:

> > ---- userlogin.php ---- Umleitung auf geschützten Bereich ----
>  > <?
>  > header ("Location:
>  > http://$username:$password_(at)_dein.server.tld/geschuetztes/verzeichnis");
>  > ?>
>  > ---- Ende userlogin.php ----
>  
>  
>  Hier wird das Passwort und der Benutzername unverschlüsselt übergeben.
>  Dadurch ist die Möglichkeit, das Passwort zu hacken und unberechtigten
>  Zugang zu verschaffen sehr leicht möglich.

Nicht nur das. Die Angabe von Benutzerkennungen/Passwoertern ist lauf RFC 
fuer das HTTP , im Gegensatzt zu FTP, NICHT erlaubt. Es funktioniert nur bei 
bestimmten Servern und Clients. Wenigstens taucht das Passwort nicht in allen 
Logbuechern Firewalls, Proxys, Webserver auf. Trotzdem wuenschte ich mir 
jeder wuerde gleich mit 10.000 Volt gebrutzelt werden der solchen ein Unfug 
macht.

Wer kein challange responce verfahren zur Authentifizierung benutzt bei dem 
wird das Passwort i.d.R immer im Klartext ueber dern Draht gehen. Hier sollte 
man fuer den Loginvorgang dann auf SSL zurueckgreifen.

Gruss
Joerg Beherens

--
TakeNet GmbH                        Mobil: 0171/60 57 963       
D-97080 Wuerzburg                   Tel: +49 931 903-2243       
Alfred-Nobel-Straße 20              Fax:+49 931 903-3025