Am 06/12/2003 09:42 PM schrieb Heiko Schlittermann:
Ich habe eine Site mit .htaccess und .htpasswd vor fremden Zugriff gesch�tz. Ist das sicher?
Das erforderliche Passwort wird (base64-kodiert) im Klartext verschickt.
Und was ist dann der Sinn dieser Verschl�sselung? Ich meine wo ist der Unterschied zwischen im Klartext �bertragenem PW, den ich abfangen und ausnutzen kann und dem kodierten PW den ich bei abfangen auch genau so gut ausnutzen kann?
Das PW wird nur base64-kodiert, damit es problemlos �bertragbar ist, also potentiell beliebige Sonderzeichen (Leerzeichen, Zeilenumbr�che etc) haben kann. Das base64 dient nicht der Verschl�sselung, sondern eben der Kodierung, ein kleiner Unterschied.
Ach so.... Also es ist praktisch Klartext PW das �bers Netz wandert. Jetzt verstehe ich den Sinn deiser Kodierung, ich habe mir wirklich zuerst unter der Kodierung Verschl�sselung gedacht.
Auf dem Server wird es wieder dekodiert und dann per crypt(3) oder
�hnlichem verschl�sselt und mit dem verschl�sselten Passwort aus der
htpasswd (oder wie immer sie genannt wurde) verglichen.
Das Verschl�sseln kann erst der Server machen, weil der Client ja nicht wei�, ob das Passwort �berhaupt und wenn, dann wie, auf dem Server verschl�sselt gespeichert ist. Normalerweise ist's verschl�sselt gespeichert, damit der Diebstahl der Passwort-Datei nicht sofort das System kompromittiert (sp?). (Siehe auch /etc/shadow.)
Das Verschl�sseln des �bertragenen Passwortes *mu�* der Server machen, wenn er das Vergleichspasswort auch verschl�sselt gespeichert hat, weil die verwendeten Verschl�sselungsverfahren nicht umkehrbar sind, man kann also nur den �bertragenen Klartext auch verschl�sseln und dann mit dem verschl�sselten Passwort aus der Passwort-Datei vergleichen.
Jetzt ist alles klar.
Damit in der Passwort-Datei nicht die verschl�sselten Passworte gleich aussehen, wenn gleicher Klartext verwendet wird, wird den Klartext-Passworten vor der Verschl�sselelung noch "Salz" hinzugef�gt.
Hier ist z.B. 2x das Wort "test" mit crypt(3) verschl�sselt: QZAe1hru/kgQY 6O/LxHgRhp7gE
Es wurde unterschiedliches Salz (beim ersten QZ, beim zweiten 60)
verwendet.
Aber das alles ist vielleicht mehr, als Du wissen wolltest...
Eigentlich ja, aber ich habe es mit sehr grosser Interesse gelesen und wieder was dazu gelernt. Danke f�r die M�he.
Best regards from Dresden
Viele Gruesse aus Dresden
Heiko Schlittermann
Yevgenij.
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
