Discussion:
[DomainFactory] .htaccess / .htusers klappt nicht
(zu alt für eine Antwort)
Heinz-Mario Frühbeis
vor 10 Jahren
Permalink
Hallo,

heute habe ich mal angefangen mir einen gesicherten Bereich in meinem
Webspace einzurichten. Dazu habe ich in
"/kunden/xxxxxxxx/webseiten/Earlybite/Privat" eine .htaccess-Datei
eingerichtet:

# Beschreibung
AuthType Basic
AuthName "Zugriff auf Privates"
AuthUserFile /kunden/xxxxxxxx/webseiten/Earlybite/.htusers
AuthPGAuthoritative Off
require user Earlybite

Und in "/kunden/xxxxxxxx/webseiten/Earlybite" die .htusers-Datei:

Earlybite:test

Und in "/kunden/xxxxxxxx/webseiten/Earlybite/Privat" liegt eine
HTML-Datei "Privat.html".

Wenn ich nun auf einen Link klicke der zu Privat.html führt, dann
erscheint ein Dialog mit Benutzer- und Passwortabfrage.
Gebe ich dort dann "Earlybite" und "test" ein, dann wird der Dialog
geschlossen und erscheint wieder (und wieder und wieder...). Wenn ich
auf "Abbrechen" klicke, erscheint die Seite "Fehler 401 Username, bzw.
Passort wurde zurückgewiesen...".

Was mache ich falsch?

Mit Gruß
Heinz-Mario Frühbeis
Heinz-Mario Frühbeis
vor 10 Jahren
Permalink
Post by Heinz-Mario Frühbeis
Hallo,
[...]
Hat sich erledigt! In .htusers braucht es ein _verschlüsseltes_ Passwort.
Thomas Hochstein
vor 10 Jahren
Permalink
Post by Heinz-Mario Frühbeis
In .htusers braucht es ein _verschlüsseltes_ Passwort.
Das ist ja überraschend!

Und auch irgendwie blöd, dann kann man es gar nicht nachschauen,
wenn man es mal vergessen hat.
Heinz-Mario Frühbeis
vor 10 Jahren
Permalink
Post by Thomas Hochstein
Post by Heinz-Mario Frühbeis
In .htusers braucht es ein _verschlüsseltes_ Passwort.
Das ist ja überraschend!
AFAIK braucht es das bei Windows nicht...
Post by Thomas Hochstein
Und auch irgendwie blöd, dann kann man es gar nicht nachschauen,
wenn man es mal vergessen hat.
Kann man doch bestimmt entcrypten, oder?
Klaus Dahlwitz
vor 10 Jahren
Permalink
Post by Heinz-Mario Frühbeis
Post by Thomas Hochstein
Post by Heinz-Mario Frühbeis
In .htusers braucht es ein _verschlüsseltes_ Passwort.
Das ist ja überraschend!
AFAIK braucht es das bei Windows nicht...
Egal wo ich einen Apachen so genutzt habe, es war immer ein
verschlüsseltes Passwort notwendig. Zum verschlüsseln habe ich
htpasswd(1) einer Linux- bzw. Mac OS X-Installation benutzt.
Post by Heinz-Mario Frühbeis
Post by Thomas Hochstein
Und auch irgendwie blöd, dann kann man es gar nicht nachschauen,
wenn man es mal vergessen hat.
Kann man doch bestimmt entcrypten, oder?
Die Methode heißt „try and error“ - nicht „try and success“.

Klaus
--
"Bitte nach hinten durchgehen, der Bus ist 25m lang"
Ein Busfahrer der HVV-Linie M5 (Doppelgelenkbus)
Heinz-Mario Frühbeis
vor 10 Jahren
Permalink
Post by Klaus Dahlwitz
Post by Heinz-Mario Frühbeis
Post by Thomas Hochstein
Post by Heinz-Mario Frühbeis
In .htusers braucht es ein _verschlüsseltes_ Passwort.
Das ist ja überraschend!
AFAIK braucht es das bei Windows nicht...
Egal wo ich einen Apachen so genutzt habe, es war immer ein
verschlüsseltes Passwort notwendig. Zum verschlüsseln habe ich
htpasswd(1) einer Linux- bzw. Mac OS X-Installation benutzt.
Wegen meines Anliegens hatte ich mich "auch" noch bei DF im Forum
angemeldet und dort noch nachgefragt. Und da meinte jemand, daß es bei
Windows keine Verschlüsselung braucht.
Halt wieder was dazu gelernt.

Die apache-utils habe ich nun "auch" installiert...
Post by Klaus Dahlwitz
Post by Heinz-Mario Frühbeis
Post by Thomas Hochstein
Und auch irgendwie blöd, dann kann man es gar nicht nachschauen,
wenn man es mal vergessen hat.
Kann man doch bestimmt entcrypten, oder?
Die Methode heißt „try and error“ - nicht „try and success“.
Ja "sicher" geht/ginge das. Ich dachte aber eher, da ja kein eigener
Schlüssel vorhanden ist, daß es da eine Routine gibt mit der man das
verschlüsselte Kennwort wieder entschlüsseln kann.

H-M <Man, aus mir wird noch ein Linuxer> F
Arno Welzel
vor 10 Jahren
Permalink
Post by Heinz-Mario Frühbeis
Post by Thomas Hochstein
Post by Heinz-Mario Frühbeis
In .htusers braucht es ein _verschlüsseltes_ Passwort.
Das ist ja überraschend!
AFAIK braucht es das bei Windows nicht...
Falsch.

Und generell ist es *nie* sinnvoll, Passwörter zu speichern. Aus
Sicherheitsgründen sollten *immer* nur Hashes verwendet werden.
Post by Heinz-Mario Frühbeis
Post by Thomas Hochstein
Und auch irgendwie blöd, dann kann man es gar nicht nachschauen,
wenn man es mal vergessen hat.
Kann man doch bestimmt entcrypten, oder?
Nein, kann man nicht. Das ist da der Sinn eines Hash. Der Angreifer soll
ja *nie* in der Lage sein, mit einer erbeuteten Passwort-Datei irgendwo
einzubrechen.
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Thomas 'PointedEars' Lahn
vor 10 Jahren
Permalink
Post by Arno Welzel
Post by Heinz-Mario Frühbeis
Post by Thomas Hochstein
Post by Heinz-Mario Frühbeis
In .htusers braucht es ein _verschlüsseltes_ Passwort.
Das ist ja überraschend!
AFAIK braucht es das bei Windows nicht...
Jemandes Ironiedetektor ist anscheinend kapott.
Post by Arno Welzel
Falsch.
Und generell ist es *nie* sinnvoll, Passwörter zu speichern.
Auch nicht verschlüsselt; deshalb wird das auch bei Apache bzw. htpasswd(1)
nicht gemacht (auch nicht unter Windows). Ein *Prüfsummenalgorithmus* –
eine kryptologische Hashfunktion – ist von einem
*Verschlüsselungsalgorithmus* klar zu unterscheiden. Verschlüsselte Daten
lassen sich wieder *entschlüsseln*; Daten, für die Prüfsummen vorliegen,
lassen sich nur *erraten*.
Post by Arno Welzel
Aus Sicherheitsgründen sollten *immer* nur Hashes verwendet werden.
ACK.
Post by Arno Welzel
Post by Heinz-Mario Frühbeis
Post by Thomas Hochstein
Und auch irgendwie blöd, dann kann man es gar nicht nachschauen,
wenn man es mal vergessen hat.
Kann man doch bestimmt entcrypten, oder?
Nein, kann man nicht. Das ist da der Sinn eines Hash.
Womit Du Deinem obigen „Falsch“ korrekterweise selbst widersprichst.
Post by Arno Welzel
Der Angreifer sol ja *nie* in der Lage sein, mit einer erbeuteten
Passwort-Datei irgendwo einzubrechen.
Genau das kann aber eine kryptologische Hashfunktion nicht, sie kann es
*nie* leisten. Ein Hash kann nur, wenn der Algorithmus zu seiner Erzeugung
gut genug ist, den Aufwand, das Passwort zu erraten, gross genug machen,
dass dieser sich für einen Angreifer nicht lohnt.

Beispielsweise wurden MD5-Hashes bereits geknackt, da die Technologie sich
seit Erfindung von MD5 weit genug entwickelt hatte, dies mit vertretbarem
Aufwand (d. h. mit marktüblicher Hardware und in kurzen Zeiträumen) zu tun,
und gelten daher heutzutage für die meisten Anwendungen nicht mehr als
sicher genug. Tatsächlich kann man MD5-Hashes für in Wörterbüchern
enthaltene Passwörter durch eine einfache Google-Suche finden.

Jedoch ist MD5 (wenn auch mit Salt) das, was htpasswd(1) seit Apache 2.2.18
per Default verwendet (Option “-m”). Sicherere Hashes lassen sich mit
bcrypt (“-b”) erzeugen; SHA-1-Hashes (“-s”) sind bei htpasswd(1) (von Apache
2.4.16) eher nicht so sicher wie MD5- oder bcrypt-Hashes, weil erstere dort
keinen Salt haben und daher anfälliger für Wörterbuchangriffe sind. (Siehe
Manpage.)

Natürlich gilt wie immer: Der verwendete Schutzmechanismus sollte dem Wert
entsprechen, dem man der zu schützenden Sache beimisst, und der
Wahrscheinlichkeit, die man dem negativen Ereignis beimisst, dem damit
vorgebeugt werden soll.

<https://en.wikipedia.org/wiki/MD5>
<https://de.wikipedia.org/wiki/Salt_(Kryptologie)>


PointedEars
--
Post by Arno Welzel
Einfach die xml Tags durch html Code ersetzen und gut...
Lass es mich so sagen: Die dunkle Seite gewählt Du hast. Den schnellen
Erfolg Du suchst, aber auf die Füsse fallen die Komplexität Dir wird.
Unterschätze niemals die Bugs der dunklen Seite! -- Geggo in fcc
Stefan+ (Stefan Froehlich)
vor 10 Jahren
Permalink
Post by Thomas 'PointedEars' Lahn
Natürlich gilt wie immer: Der verwendete Schutzmechanismus sollte
dem Wert entsprechen, dem man der zu schützenden Sache beimisst,
und der Wahrscheinlichkeit, die man dem negativen Ereignis
beimisst, dem damit vorgebeugt werden soll.
Ack. Bei der .htpasswd ist das im Prinzip eh nur eine zusätzliche
Sicherheitsmassnahme, denn *eigentlich* sollte die Datei ja von
extern gar nicht erst lesbar sein, und sobald jemand direkt am
Server arbeitet, spielen die Passwörter in vielen Settings auch
keine Rolle mehr (bezüglich des Zugangs zu den Informationen, die
damit gesichert werden).

Servus,
Stefan
--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan, mit dem wunderbaren Geruch der Sensation.
(Sloganizer)
Thomas 'PointedEars' Lahn
vor 10 Jahren
Permalink
Post by Stefan+ (Stefan Froehlich)
Post by Thomas 'PointedEars' Lahn
Natürlich gilt wie immer: Der verwendete Schutzmechanismus sollte
dem Wert entsprechen, dem man der zu schützenden Sache beimisst,
und der Wahrscheinlichkeit, die man dem negativen Ereignis
beimisst, dem damit vorgebeugt werden soll.
Ack. Bei der .htpasswd ist das im Prinzip eh nur eine zusätzliche
Sicherheitsmassnahme, denn *eigentlich* sollte die Datei ja von
extern gar nicht erst lesbar sein,
_ACK_¹. Dies wird bei Apache 2.4.x mit der Voreinstellung

<FilesMatch "^\.ht">
Require all denied
</FilesMatch>

in der apache2.conf (Debian; Ubuntu?) bzw. httpd.conf erreicht. Wenn jedoch
unvorsichtigerweise

AllowOverride All

definiert wurde, um

AllowOverride AuthConfig

zu aktivieren, was mindestens nötig ist, um HTTP Authentication in einer
.htaccess definieren zu können, dann lässt sich mit einer (eingeschleusten)
.htaccess obige sinnvolle Vorgabe ausser Kraft setzen.

<http://httpd.apache.org/docs/2.4/mod/mod_authz_core.html#require>
<http://httpd.apache.org/docs/2.4/mod/core.html#allowoverride>
<http://httpd.apache.org/docs/2.4/mod/core.html#filesmatch>
Post by Stefan+ (Stefan Froehlich)
und sobald jemand direkt am Server arbeitet, spielen die Passwörter in
vielen Settings auch keine Rolle mehr (bezüglich des Zugangs zu den
Informationen, die damit gesichert werden).
ACK.

_______
¹ <http://www.catb.org/jargon/html/A/ACK.html>
--
Der erfahrene IE-Fahrer weiß, daß man Slalom am besten im ersten Gang fährt,
weil schnelles Lenkradumreißen bei IE zum Lenkradabreißen führt. Wer
sportlich fahren will, muß Netscape fahren und hin und wieder auch mal
anschieben. ;-) --Georg Maaß, dcljs, <amuqrl$91i3q$***@ID-3551.news.dfncis.de>
Loading...