Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Hallo zusammen!

Ich bin neu hier und habe keine Ahnung!

Ich möchte eine neue Webseite aufbauen, die folgende Eigenschaften hat:

1. Startseite passwortgeschützt mit Login für von mir verwaltete Benutzer
2. (Keine eigene Registrierung möglich und nötig)
3. Benutzer uploadet eine Textdatei, die verarbeitet wird, und erhält ein PDF zurück.
4. Alle diese Transfers sollen verschlüsselt sein (https).
5. Der Benutzer und auch kein Dritter darf die Scripte sehen.
6. Sicherheit spielt eine große Rolle

Letzterer Punkt ist auch der Grund, weshalb ich mich in diesem Forum angemeldet habe.

Ich hatte zunächst vor, dies im Rahmen meiner Webseite mit Wordpress zu realisieren.
Nachdem meine Webseite aber gehackt wurde, ist mir das zu unsicher. Angesichts dessen,
dass ich keinerlei graphisch aufwendige Seiten erstellen will, sondern nur ganz elementare
Funktionen verwenden möchte, suche ich nach einer Lösung, die einfach und sicher ist.

Ich würde mich sehr über Tipps freuen!

Vielen Dank!

Jürgen

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Hallo und willkommen hier im Forum.


Lässt sich ändern ...

1. realisierbar Mittels .htaccess
2. ---
3. Soll die Verarbeitung automatisiert erfolgen oder per Hand? Ansonsten kein Problem.
4. Deine Webseite unterstützt bereits https? Sonst frage bei Deinem Provider nach.
5. Ist unmöglich, selbst wenn Du auf Deinem eigenen Server bei Dir im Keller/Arbeitszimmer hostest - denn der Admin von Deinem Provider hat immer Zugriff auf Deinen bei ihnen gehosteten Code
6. Was ist im Internet schon sicher?

Freue mich auf eine rege Diskussion.

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Vielen Dank für den Beitrag!

1. Mittels .htaccess wäre eine Möglichkeit. Ich weiß aber nicht, ob das auch mit
   nicht-MD5-basierten Hashfunktionen geht (die gelten als unsicher) und ob ich
   das alles nur mit einem SFTP-Zugang zu meinem Server realisieren kann.
   Mich interessieren daher auch PHP-basierte Lösungen mit Sessionverwaltung etc.
   MySQL ist natürlich vorhanden.
2. -
3. Verabeitung erfolgt automatisiert aber individuell, d.h. ich muss für jeden
   Nutzer ein eigenes Script schreiben. Das ist aber das geringste Problem,
   denn ich habe das meiste schon in Perl geschrieben.
4. Deiner Antwort entnehme ich, dass es genügt, wenn der Server https kann.
   Jetzt muss ich nur noch den Nutzer "zwingen", https zu nutzen.
5. Mit Dritten meine ich nicht den Provider, der ist nicht das Problem,
   sondern irgendwelche Kriminelle, die mal wieder meine Webseite hacken möchten.
6. Mir geht es natürlich darum, ein möglichst hohes Maß an Sicherheit zu haben.
   Das Problem ist halt: Verwende ich irgend ein CMS, dann habe ich einen riesigen
   Overkill an Funktionen, die ich nicht brauche und das Risiko, dass wegen der
   Komplexität des CMS Schwachstellen vorhanden sind. Nehme ich dagegen eine
   "selbstgestrickte" PHP-Lösung könnte es sein, dass mangelnde Fachkompetenz
   die Ursache für die Schwachstelle ist.

Gut fand ich diesen Beitrag:

https://de.wikihow.com/Ein-sicheres-...ySQL-erstellen

Ich kann bloß nicht beurteilen, wie aktuell das ist und ob es dem Stand der Technik entspricht.

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Eigener Server?

Linux, dann käme noch pam als Authentifizierung in Frage. Der Indianer kann das perfekt, dann ist auch später eine Erweiterung der Dienste und erweiterte Rechteverwaltung NULL Problem.

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Nein, noch nicht. Ich nehme entweder eine Subdomain meiner Homepage
oder ein Webhosting-Paket.

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Dann ist wohl .htaccess die beste Variante.

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Und was wäre die zweitbeste Alternative?

Es gibt einige Vorlagen für Benutzerverwaltungen mittels PHP
im Internet, ich kann aber nicht beurteilen, was dem Stand
der Technik entspricht.

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Die zweitbeste Variante ist wohl eine Userverwaltung und Login über php oder ähnliche Scriptsprachen.
Da bieten schon die Interpreter der Scriptsprachen einiges an Angriffsfläche.

Derartiges kommt eher zum Einsatz, wenn man recht viele User verwalten muss.

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Aber dieses Problem habe ich in jedem Fall, da ich ja Daten verarbeiten
muss, die der Nutzer uploadet. Diese Daten werde ich vermutlich mit
PHP oder einer anderen Scriptsprache verarbeiten und dann ist die
Angriffsfläche in jedem Fall vorhanden.

Was ich bei der .htaccess-Variante vermisse ist eine vernünftige
Session-Verwaltung. Besteht nicht bei der .htaccess-Variante die
Möglichkeit, dass ein Angreifer eine andere Session übernimmt?

Wenn ich also eine Userverwaltung über PHP verwende, wo finde
ich eine Anleitung, die auf dem neuesten Stand der Technik ist?

Vielen Dank für alle Tipps!

Gruss Jürgen

AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
 

Aber erst nach der Prüfung der Zugangsberechtigung.


Bitte .htacces (Apache - Serverbetriebssystem) und Session-Verwaltung (PHP - Scriptsprache) gedanklich trennen.


So blöd wie es klingt, wie wäre es mit dem Internet. Da es ständig Veränderungen sowohl im Angriff als auch in der Verteidigung von Angriffen gibt, sind auch (aktuelle - was ist aktuell?) Bücher schon mit Drucklegung nicht mehr zwingend auf dem aktuellsten Stand.