|
| hvor sikker er beskyttelse med .htaccess ?~ Fra : TGJ |
Dato : 26-10-02 14:04 |
|
Hej,
Har nogle administrationssider der er beskyttet vha .htaccess
men hvor sikkert er det?
Thomas
| |
Niels Andersen (26-10-2002)
| Kommentar Fra : Niels Andersen |
Dato : 26-10-02 14:18 |
|
TGJ wrote in <3dba92ae$0$28795$edfadb0f@dspool01.news.tele.dk>:
> Har nogle administrationssider der er beskyttet vha .htaccess
> men hvor sikkert er det?
Metoden i sig selv er ganske sikker. Hvis der er et problem, så er det i de
omkringliggende omstændigheder.
Hvis andre brugere fx. kan få adgang til filerne uden om webserveren, så gør
..htaccess absolut intet.
Eller hvis der er valgt dårlige passwords, så kan man nemt komme ind med
bruteforce.
Selv har jeg haft problemer med "caching". Når man logger ind på den måde er
det browseren der husker på kodeordet, mens man er logget ind. Spørgsmålet
er så hvornår kodeordet glemmes igen. Den kan sagtens ligge der i dagesvis,
og det er et problem, hvis andre har adgang til computeren. Fx. fysisk
adgang, men også hvis de får adgang til harddisken over netværket.
--
Mvh.
Niels Andersen
(la nels. anersyn.)
| |
Niels Andersen (26-10-2002)
| Kommentar Fra : Niels Andersen |
Dato : 26-10-02 14:21 |
|
Niels Andersen wrote in <jEwu9.178536$Qk5.6268763@news010.worldonline.dk>:
>> Har nogle administrationssider der er beskyttet vha .htaccess
>> men hvor sikkert er det?
> Metoden i sig selv er ganske sikker. Hvis der er et problem, så er det i
> de omkringliggende omstændigheder.
Kom lige i tanker om én mere. Kodeordet bliver sendt som plaintext, og det
enda for hver eneste fil. Dvs. du kan sagtens risikere at sende kodeordet
som plaintext 20 gange bare for at se den første side efter du har logget
ind.
Hvis først nogen har mulighed for at "lytte" til trafikken, så er det altså
ret nemt at opsnappe dit kodeord.
Det er i øvrigt ikke en udtømmende liste jeg kommer med her, det er bare
eksempler. :)
--
Mvh.
Niels Andersen
(la nels. anersyn.)
| |
TGJ (26-10-2002)
| Kommentar Fra : TGJ |
Dato : 26-10-02 14:56 |
|
"Niels Andersen" <niels-usenet@myplace.dk> skrev i en meddelelse
news:jEwu9.178536
> Eller hvis der er valgt dårlige passwords, så kan man nemt komme ind med
> bruteforce.
ok, bruteforce... hvad er det? prøv og prøv igen???
> Selv har jeg haft problemer med "caching". Når man logger ind på den måde
er
> det browseren der husker på kodeordet, mens man er logget ind. Spørgsmålet
> er så hvornår kodeordet glemmes igen. Den kan sagtens ligge der i
dagesvis,
> og det er et problem, hvis andre har adgang til computeren. Fx. fysisk
> adgang, men også hvis de får adgang til harddisken over netværket.
kan man rense den cache fx efter 15 min??
eller skal jeg til at kigge på lidt cookies ?
Thomas
| |
Niels Andersen (26-10-2002)
| Kommentar Fra : Niels Andersen |
Dato : 26-10-02 18:05 |
|
TGJ wrote in <ape6u1$o5b$1@sunsite.dk>:
>> Eller hvis der er valgt dårlige passwords, så kan man nemt komme ind med
>> bruteforce.
> ok, bruteforce... hvad er det? prøv og prøv igen???
Ja. Noget i stil med:
"a", "b", "c" ... "z", "aa", "ab", "ac" osv...
Man kan evt. tage udgangspunkt i en liste over ord, som ofte bruges til
passwords. Man kan så gå listen igennem, med typiske variationer. Det
hedder "dictionary attack", hvis jeg husker rigtigt. :)
Umiddelbart lyder det som en opgave der aldrig bliver færdig, men en
computer kan altså drøne ret mange forsøg igennem hvert sekund, og så har
den meget god tålmodighed. :)
>> Selv har jeg haft problemer med "caching". Når man logger ind på den måde
>> er det browseren der husker på kodeordet, mens man er logget ind.
>> Spørgsmålet er så hvornår kodeordet glemmes igen. Den kan sagtens ligge
>> der i dagesvis,
>> og det er et problem, hvis andre har adgang til computeren. Fx. fysisk
>> adgang, men også hvis de får adgang til harddisken over netværket.
> kan man rense den cache fx efter 15 min??
Teoretisk set, ja. I teorien kunne den også blive tømt når man lukker
browseren. Spørgsmålet er, om netop dit system har de muligheder.
Jeg har prøvet at sætte med ved en offentlig workstation, og komme ind i
meget eget administrationsværktøj (som på det tidspunkt netop brugte
..htaccess-beskyttelse) uden at angive kodeord, fordi jeg havde brugt den
samme maskine en uge før. Jeg ved godt at Microsoft (det var IE på en
Windows-maskine) og sikkerhed ikke hænger så meget sammen, men jeg blev nu
alligevel ret chokeret. Jeg havde grundigt været igennem registrerings-
databasen for at fjerne urlerne jeg havde været på, men det lykkedes mig så
altså ikke at fjerne det cachede kodeord.
Jeg skyndte mig at ændre kodeordet, og har ikke indtastet kodeord noget
sted, hvor det kunne havne i en cache, jeg ikke har kontrol over. :)
(I det konkrete tilfælle brugte jeg Knoppix hver gang jeg skulle lave noget
på en maskine, der ikke var min egen.)
> eller skal jeg til at kigge på lidt cookies ?
Det ændrer nogle af tingene, men ikke nødvendigvis til det bedre.
Fx. mit cachede kodeord lå (så vidt jeg ved) krypteret på harddisken. Det
kunne selvfølgelig dekrypteres, men det kræver den rette software. Det er
nemt nok at få fat i, men alligevel...
Er kodeordet gemt i en cookie, så kan det findes frem med nogle ganske få
museklik.
Laver du det cookie/session-baseret er en større del af teknikken i dine
hænder, på godt og ondt.
Det er en forbedring, at du har bedre styr på caching (nogle browsere har
det med at cache alle password-felter, uanset hvad du gør på serversiden),
men du kan nemt selv lave en fejl, som er værre.
På trods af alle disse problemer, er der dog lige en ting du skal huske på.
Der er intet, der er *helt* sikkert. Bemærk at selv banker, som har ofret
millioner på at gøre deres homebanking sikker, kan man bryde ind i. Det
drejer sig altså ikke om at blive *helt* sikker, men sikker *nok*.
--
Mvh.
Niels Andersen
(la nels. anersyn.)
| |
|
|