|
| |
.HTACCESS
Geschrieben von Marc Ruef <marc.ruef@computec.ch>
für http://www.computec.ch/
Version 1.1a 02. April 2000
1.0 Inhaltsverzeichnis
1.0 Inhaltsverzeichnis
2.0 Einführung
3.0 Der Aufbau von .HTACCESS-Dateien
4.0 Der Aufbau einer Passwort-Datei
5.0 Angriffsmöglichkeiten
2.0 Einführung
Dieses Passwort-Abfrage-System wurde ursprünglich von
Apache-Servern eingesetzt, und konnte sich mittlerweile auf allen Serversystemen
etablieren. Er bietet einen recht guten Schutz, und wird deshalb oft auf
gebührenpflichtigen Seiten mit pornographischem Inhalt benutzt. Eine
Website, die HTACCESS einsetzt, ist daran zu erkennen, dass bei betreten
des Mitgliedsbereichs ein Popup-Dialog erscheint (nicht durch ein JavaScript
generiert).
3.0 Der Aufbau von .HTACCESS-Dateien
In dem zu schützenden Verzeichnis ist eine Datei mit dem
Namen .htaccess enthalten, welches für die Verwaltung der Passwörter
zuständig ist: Wo liegen die Passwörter? Wie muss das Verzeichnis
geschützt werden?
Ein .htaccess-File sieht mit einem Texteditor betrachtet so aus:
AuthUserFile /usr/home/meindir/passwd
AuthName Members
AuthType Basic
<Limit GET POST PUT>
require valid-user
</Limit>
Aus dieser Datei ist nun ersichtlich, dass die Passwörter in der
Datei passwd gespeichert werden, welche sich in meinem Home-Directory befindet.
Sicherheitshalber sollte das Passwort-File nicht in der Nähe der HTML-Dokumente
liegen, da dadurch ein Zugriff via WWW verunmöglicht wird. Bei der
AuthName-Zeile ist der Titel der Dialogbox ersichtlich: Der zu schützende
Bereich wird den Namen Members tragen. Das interessante am HTACCESS-Schutz
ist, dass durch das HTACCESS-File automatisch auch alle Unterverzeichnisse
unterhalb des Verzeichnisses, in dem sich die HTACCESS-Datei befindet,
mitgeschützt sind.
4.0 Der Aufbau einer Passwort-Datei
Wie sieht nun die Passwort-Datei selber aus? Im Folgenden eine
mögliche Passwort-Datei:
Prometheus:jnjQcF1WWpn8w
Manson:EqiRz2/cDdTjw
Rieekan:hGaVqYhVIi9ek
Für jedes Mitglied enthält die Passwortdatei eine Zeile, die
aus zwei Teilen besteht, die durch einen Doppelpunkt getrennt sind, wie
man es von den passwd-Dateien von Unix-Systemen her kennt. Der erste Teil
ist der Login-Name, der zweite Teil enthält das Passwort in verschlüsselter
Form. Diese Verschlüsselung ist sehr sicher. Sie ist maschinenspezifisch,
und durch eine Falltürfunktion generiert worden. Das heisst, dass
selbst wenn man diese Passwortdatei in die Finger bekommen würde,
könnte man aus den verschlüsselten Passwörtern nicht die
wirklichen Passwörter zurückberechnen. Bei der Passworteingabe
wird das Passwort durch die Unix-Systemfunktion "crypt" kodiert und mit
dem in der Passwortdatei abgelegten verschlüsselten Passwort verglichen.
Ist es gleich, so ist der Login ok.
5.0 Angriffsmöglichkeiten
HTACCESS-Abfragen sind meist nur mit einer Brute-Force-Attacke
knackbar. Das beste Tool für solche Zwecke ist mit Sicherheit UnSecure,
wobei WWWHack mir auch schon gute Dienste leisten konnte.
Siehe auch Apache, Bruteforce, HTTP,
Kryptoanalyse,
passwd, S-HTTP, Unsecure, WWWHack
Dieser Text ist unverfälscht
frei kopierbar!
| |
 .HTACCESS |
|
Ihr Name: Besucher (nicht angemeldet).
Online: 8 aktive User.
|
|
Anmelden | Abmelden |
|
|
Benachrichtigen bei Änderungen: |
|
|
|
|
|
Antivirus-Infos: |
|
|
