ZitatOriginal geschrieben von R. U. Serious
Es gibt auch noch ne Variante wo man nicht aus dem Quellcode ersehen kann, wie das Passwort ist. Dafür muss man dann den Dateinamen etwas merkwürdiger wählen.
Das ist ähnlich wie die Variante die ich gefunden habe.
Nur meine hat noch den Vorteil, daß das Paßwort verschlüsselt im Quelltext steht, also definitiv nicht im Text zu finden ist.
ZitatOriginal geschrieben von Andre
Habe ich das richtig verstanden, daß wenn im Verzeichnis auf dem Server irgendeine Datei namens index.html liegt, dieses Verzeichnis nicht mehr einsehbar ist?
Von Bugs und Fehlkonfigurationen des Servers mal abgesehen: JA.
ZitatAlles anzeigenOriginal geschrieben von Andre
Das ist ähnlich wie die Variante die ich gefunden habe.
Nur meine hat noch den Vorteil, daß das Paßwort verschlüsselt im Quelltext steht, also definitiv nicht im Text zu finden ist.
Nein, du hast nicht richtig geschaut, das Passwort dass im Klartext steht ist nur ein dummy. In der von mirg elinkten Variante steht gar kein passwort im quelltext, und auch nicht die datei auf die umgeleitet wird. Die Eingabe wird so manipuliert, dass sie den Dateinamen ergibt!
Du kannst dann natürlich deine dateinamen bzw. passwörter nicht mehr frei wählen, aber dafür kommt man da auch nur mit 'brute-force dran vorbei.
Bei den anderen Varianten kann man sich durch scharfes nachdenken und Javascript-wissen immer zutritt verschaffen 
Kostenlosen Webspace mit per HTTP-Authentifizierung schützbaren Verzeichnissen gibt's übrigens z.B. bei http://www.barrysworld.com und bei http://www.arcor.de
Gruß,
ZitatOriginal geschrieben von R. U. Serious
Nein, du hast nicht richtig geschaut, das Passwort dass im Klartext steht ist nur ein dummy. In der von mirg elinkten Variante steht gar kein passwort im quelltext, und auch nicht die datei auf die umgeleitet wird. Die Eingabe wird so manipuliert, dass sie den Dateinamen ergibt!
Du kannst dann natürlich deine dateinamen bzw. passwörter nicht mehr frei wählen, aber dafür kommt man da auch nur mit 'brute-force dran vorbei.
Bei den anderen Varianten kann man sich durch scharfes nachdenken und Javascript-wissen immer zutritt verschaffen
Stimmt, ich habe nicht richtig geschaut (das mit dem Dummy hatte ich schon gesehen, aber den Rest nur überflogen) 
Bei Deiner Version ist das Paßwort gleich dem Dateinamen und deswegen gar nicht im Quelltext.
Aber was passiert dann, wenn man ein falsches Paßwort eingibt? Kommt dann einfach ein 404 (oder wie heißt der Fehler nochmal, wenn er eine Seite nicht findet?)
Bei meiner Version ist auch das Paßwort gleich dem Dateinamen. Zusätzlich gibt es noch einen Usernamen (finde ich schicker und erhöht die Sicherheit).
Da Username und Paßwort verschlüsselt sind, sind sie auch nicht ablesbar. Sie werden aber erst überprüft, bevor der Link ausgeführt wird, wodurch eine Fehlermeldung erscheint wenn eins von beiden nicht stimmt.
Von der Sicherheit her dürften beide Varianten dann wohl in etwa identisch sein, oder?
Was genau ist eigentlich eine "brute-force"-Attacke?
Hi!
Lange nicht mehr gesehen äh gelesen 
Zitat
Dann warst du im falschen Forum unterwegs ;).
ZitatOriginal geschrieben von Andre
Was genau ist eigentlich eine "brute-force"-Attacke?
Bei dieser Art von Angriff werden (meist von einem Programm) massenweise Buchstaben-/Zahlenkombinationen an das zu knackende System geschickt bis das gewünschte Ergebniss erscheint. Dagegen hilft keine noch so gute Verschlüsselung, allerdings kann so etwas bei einem gut gewählten Passwort schonmal Wochen/Jahre dauern.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!