AW: htaccess und MD5-verschlüsselung
 

sicher habe ich schon mal über die skript- datenbank-kontrolle nachgedacht. und auch einigermaßen was zusammen gebastelt. mit session-ID's, cookies usw. und dann geht der ärger los, mit usern die keine cookies mögen (so wie ich) usw... aber so wie du das mit htaccess als gequäle empfindest, empfand ich den anderen weg als gequäle.

einfacher und vor allem sicherer finde ich meinen weg auf jeden fall, wenn auch etwas unschön für den anwender.

und ja, es ist ein windows-server, deshalb auch der absolut angegebene dateipfad in der ".htaccess" zu den anderen dateien.

er akzeptiert übrigens nur den vollen dateipfad (zB. "D:/.htusers") und nicht den einfachen (wie "/.htusers"). ich hab auch schon gelesen, das es (angeblich) mal so war, das unter windows keine verschlüsselten passwörter möglich waren. das problem sollte dann aber vor einigen apache-versionen der vergangenheit angehören.

nu ja. muß ich den benutzern wohl weiterhin ehrlich sagen, das ich ihre passwörter direkt lesen kann und sie deshalb möglichst keine nehmen sollen, die sie auch woanders benutzen. unschön, aber wohl doch (erst mal) nicht zu ändern...

------------------------------------------------------------------------

off topic: was habt ihr nur alle gegen windows (abgesehn vom preis)?

AW: htaccess und MD5-verschlüsselung
 

Welche Version des Indianer verwendest Du? Bist Du sicher das Deine verwendete Version das schon kann?


Indianer <> Windows (bitte jetzt keine Philosophie-Diskussionen ;-) )

AW: htaccess und MD5-verschlüsselung
 

problematisch ist doch vor allem, die rechte der user effizient zu verwalten. sowas wie hier diskutiert bekommst du via htaccess nicht hin.

das macht die user auf jeden fall skeptisch und wird das vertrauen in die oben zitierte sicherheit mindern...

nichts - windows ist das arbeitstier auf meinem desktop und ich arbeite / entwickle gern damit. als (web-)server ist dieses os allerdings ziemlich unbrauchbar.

nein, bitte nicht .-

cx

AW: htaccess und MD5-verschlüsselung
 

Apache Version: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11 OpenSSL/0.9.8i PHP/5.2.9
Apache API Version: 20051115

also nicht taufrisch, aber doch sicher noch nicht veraltet. aber ich werde mal spaßenshalber das neueste xampp besorgen und darauf testen. vielleicht gibts dann ja den aha-effekt.

ich hatte es aber so rausgelesen, das es sowieso ne ente war, dass der apache unter windows das entschlüssen nicht können sollte. ich kann mich natürlich auch irren und auch die verfasser der texte wo darüber diskutiert wurde. erhellende beiträge waren das aber nicht. sonst hätte ich sie mir gemerkt, oder danach handeln können.

das war ja auch keine philosophische frage, sondern eine rein technische. vielleicht lohnts sich ja wirklich noch mal komplett umzulernen. und wenn ich ganz viel zeit hab, vielleicht sogar mal mit einem unix-system auf ner virtuellen maschine. ganz als ahnungloser dau...

es geht nur um ne schlichte erweiterung einer einfach gestrickten community, wo jeder nutzer die möglichkeit erhalten soll eine persönlich galerie per uploadformular zu erstellen (außerhalb der community auf meinem server). die bilder/galerien soll jeder sehn können. aber hochladen und löschen nur der jeweilige eigentümer des kontos (ein ordner mit unterordnern). es ist nur eine einzelne php-datei vor dem zugriff anderer zu schützen. dafür reicht htaccess allemal.

ja. deshalb frag ich ja hier nach dem verschlüsseln. trotzdem finde ich es anständiger vorzuwarnen, das es so ist, wie es ist. hab auch noch keine klagen darüber gehört.

ohne das hier diskutieren zu wollen, finde ichs aber trotzdem interessant. gibts dazu in diesem forum, oder anderswo unphilosophische aber technisch fundierte diskusionen?

AW: htaccess und MD5-verschlüsselung
 

das stand doch gar nicht zur disposition... du hast oben gesagt:

das (theoretische) potential der htaccess-methode interessiert niemanden, wenn es in praxi sicherheitslöcher gibt. passworte unverschlüsselt zu speichern, ist eins davon und zwar so gross wie ein scheunentor.

das netz ist voll davon... suma anschmeissen und los geht's.

cx

AW: htaccess und MD5-verschlüsselung
 

also der Apache 2.2.14 kanns auch nur unverschlüsselt.

habe den verdacht, das es da irgendwo einen schalter gibt, der von unverschlüsselt auf verschlüsslet umzulegen geht, aber noch nicht aufgegeben.

die xampp-leute sind ja bekannt dafür, für alles immer die einfachsten einstellungen vorzunehmen, damit der unerfahrene nutzer an nix mehr rumzuschrauben braucht. mal schaun worüber ich in der nächsten zeit noch stolpere. in der http.config hab ich jedenfalls nichts gefunden, das für mich so aussehn würde, als wenns das wäre...

AW: htaccess und MD5-verschlüsselung
 

*KOPFKLATSCH!!!*

vorausgesetzt im bin-verzeichnis von apache liegt eine datei namens "htpasswd.exe", was eigendlich so sein sollte (unter windows).

1. man gehe ins bin-verzeichnis des apachen
2. erstelle dort eine cmd- oder bat-datei
3. darein schreibe man die zeile "htpasswd -c .htusers st68" (st68 ist nur für mich)
4. dann führe man diese datei aus
5. es erscheint ein fensterchen mit folgendem inhalt:

   Code:

   ---

   <irgendein pfad>\apache\bin>htpasswd -c .htusers st68
  Automatically using MD5 format.
  New password:

   ---

6. dann trage man das gewünschte passwort ein
7. dann muß man's noch mal wiederholen (sicher ist sicher)
8. und schwupps, liegt im bin-verzeichnis des apachen eine fertige .htusers mit MD5-verschlüsseltem passwort.
9. die dann dahin kopieren wo man sie gerne hätte
10. und das beste, das einloggen funktioniert tatsächlich!

man kann jetzt sogar immer lustig unerschlüsselte und verschlüsselte passwörter abwechselnd benutzen. also scheint er wirklich beides zu probieren.

in einem erfolglosen googelergebnis wurde erklärt, das der apache unter windows anders ver- oder entschlüsselt wie unter unix-systemen. dann waren die generatoren vielleicht nur für linux ausgelegt? hätten die dann aber dazu schreiben müssen.

so. und nu muß ichs nur noch schaffen diese datei per php-script und eingabeformular zu erstellen...

AW: htaccess und MD5-verschlüsselung
 

die methode überzeugt mich - hat sich deswegen wohl auch durchgesetzt:

- einfach (siehe vorigen post)
- sicher
- etwas unschön für den anwender

ich ergänze:

- plattformunabhängig (extra-klimmzüge unter win; siehe vorigen post)
- komfortables / erweiterbares rechtemanagement

sorry, das musste sein. wenn jemand die ironie-tags findet...

cx

AW: htaccess und MD5-verschlüsselung
 

nachtrag:

das erstellen eines brauchbaren MD5-passwortes mittels php-script scheiterte genauso, wie mit den im web verfügbaren generatoren.

hab also noch einen klimmzug machen müssen. die "htpasswd.exe" in den ordner mit dem passwort-erstellungs-formular gepackt und ins formular den code:geschrieben.
das dann mit exec() ausgeführt und die entstandene .htusers dahin gepackt wo sie sein sollte.
warum das direkte anzapfen der "htpasswd.exe" im apache-ordner nicht funktionieren will, ist mir nicht klar.
exec() verweigert das ausführen von scripten außerhalb des ordners in dem es gestartet wird (also wenn die in anderen ordnern arbeiten sollen). aber nicht bei allen. warum ist das so?

jedenfalls das so erstellte und verschlüsselte passwort sieht dann zwar wieder anders aus, wie das von hand mit der "htpasswd.exe" und eingabefenster erstellte, aber es funktioniert trotzdem.

AW: htaccess und MD5-verschlüsselung
 

Was hältst Du davon, Dich von MD5 im Zusammenhang mit htpasswd.exe und .htaccess zu trennen.
Sie haben nichts, aber auch gar nichts in Deinem Fall miteinander zu tun.