Black Friday = Pricewatch Bekijk onze selectie van de beste Black Friday-deals en voorkom een miskoop.
Toon posts:

Wachtwoord op directory

Pagina: 1
Acties:

zaterdag 30 augustus 2008 11:18

Acties:
  • Ruubster
  • Registratie: Augustus 2008
  • Niet online

Ruubster

Topicstarter
Ik heb n vraag. Hoe veilig is een wachtwoord op een directory van een website?

Mijn moeder heeft namelijk een eigen website gemaakt, en ik heb er voor haar een wachtwoord op gezet. Omdat ik weinig verstand heb van beveiligings-scripts, leek het me slim om gewoon een wachtwoord op een directory te zetten via het controlpanel, en vanuit de index naar de pagina's in die directory te linken. Er komt dan een popup waarin je een gebruikersnaam en wachtwoord moet invoeren.

En omdat het niet de bedoeling is dat mensen onrechtmatig de website kunnen bezoeken, vroeg ik me af hoe veilig dit is? Is er een simpele manier om hier omheen te komen? En zo ja, hoe kan ik dit beter beveiligen?

[ Voor 8% gewijzigd door Ruubster op 30-08-2008 12:35 ]

zaterdag 30 augustus 2008 11:22

Acties:
  • Arethusa
  • Registratie: December 2003
  • Laatst online: 11-11 15:05

Arethusa

Niet die server

Gebruik maken van .htaccess ?

Edit: Moet nog iets meer koffie drinken vanmorgen blijkt uit de post hieronder :X

[ Voor 24% gewijzigd door Arethusa op 30-08-2008 11:29 ]

I've been mad for fucking years, absolutely years, been over the edge for yonks.
Vinyl: Discogs

zaterdag 30 augustus 2008 11:25

Acties:
  • sub0kelvin
  • Registratie: September 2002
  • Laatst online: 10-08-2023

sub0kelvin

@Arenthuse: het is al met .htaccess.

Voor zover ik weet is het niet makkelijk deze beveiliging te omzeilen. Waar je wellicht nog naar wilt kijken is om de .htpasswd te verplaatsen naar buiten de root van de website (vaak 'www' of 'public_html'), zodat deze nooit via de webserver getoond kan worden, ook niet in het geval van een bug in de webserver.

Dan ligt het enige gevaar nog in een hacker die toegang krijgt tot de server zelf en zo alsnog de inhoud van de website kan bekijken, maar die kans is behoorlijk klein, zeker bij een goed onderhouden server.

[ Voor 11% gewijzigd door sub0kelvin op 30-08-2008 11:26 ]

zaterdag 30 augustus 2008 11:28

Acties:

Verwijderd

sub0kelvin schreef op zaterdag 30 augustus 2008 @ 11:25:
@Arenthuse: het is al met .htaccess.

Voor zover ik weet is het niet makkelijk deze beveiliging te omzeilen. Waar je wellicht nog naar wilt kijken is om de .htpasswd te verplaatsen naar buiten de root van de website (vaak 'www' of 'public_html'), zodat deze nooit via de webserver getoond kan worden, ook niet in het geval van een bug in de webserver.

Dan ligt het enige gevaar nog in een hacker die toegang krijgt tot de server zelf en zo alsnog de inhoud van de website kan bekijken, maar die kans is behoorlijk klein, zeker bij een goed onderhouden server.
Waarop baseer jij dat de kans klein is of zou zijn?

zaterdag 30 augustus 2008 11:29

Acties:
  • A.Kebab
  • Registratie: Mei 2005
  • Niet online

A.Kebab

-link gedelete-

Ook even bij google vragen of ze de cache voor je willen deleten.

[ Voor 51% gewijzigd door A.Kebab op 30-08-2008 16:59 . Reden: link weggehaald ]

zaterdag 30 augustus 2008 11:53

Acties:
  • sub0kelvin
  • Registratie: September 2002
  • Laatst online: 10-08-2023

sub0kelvin

Verwijderd schreef op zaterdag 30 augustus 2008 @ 11:28:
[...]
Waarop baseer jij dat de kans klein is of zou zijn?
Slechte woordkeuze inderdaad. Ik bedoelde te zeggen dat het bekijken van de content niet gemakkelijk zal zijn voor de eerste de beste persoon, mits de server goed onderhouden is.

zaterdag 30 augustus 2008 12:40

Acties:
  • Ruubster
  • Registratie: Augustus 2008
  • Niet online

Ruubster

Topicstarter
Bedankt voor jullie reacties.

Ik heb de link uit mijn eerste bericht gehaald, voor de veiligheid. Ik weet nu in ieder geval dat dit veilig genoeg is. Voor zover ik weet is de server goed onderhouden. We hebben een goede host.

Ik zal even vragen of google de cache delete !

Het is de bedoeling dat mensen er niet zomaar op kunnen komen. Hackers zullen er weinig nut bij hebben, want er is totaal niks spannends te vinden voor hun.

vrijdag 5 september 2008 15:59

Acties:
  • Cartman!
  • Registratie: April 2000
  • Niet online

Cartman!

Met sommige tools kun je met proxy's en wordlists proberen toegang te krijgen tot de beveiligde map. De tool registreert de http codes die het krijgt en als er een code 200 (ok) bij zit bijv. dan is het in orde en heb je username/password weten te achterhalen.

Of iemand de moeite wil nemen om de map van jouw moeder te kunnen bekijken is weer een ander verhaal ;)

vrijdag 5 september 2008 16:19

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

Afhankelijk van welk statement in de .htaccess is gebruikt (<Location> of <Directory>) is het veilig of minder veilig.
<Location> test alleen het pad in de URL. Als iemand een andere URL maakt naar dezelfde directory dan kan je die toch lezen. Niet heel veilig dus.

<Directory> beschermt de directory, onafhankelijk hoe je daar komt. Wel veilig dus.

maandag 8 september 2008 19:20

Acties:
  • RetroTycoon
  • Registratie: Juli 2008
  • Laatst online: 20:04

RetroTycoon

Sendy schreef op vrijdag 05 september 2008 @ 16:19:
Afhankelijk van welk statement in de .htaccess is gebruikt (<Location> of <Directory>) is het veilig of minder veilig.
<Location> test alleen het pad in de URL. Als iemand een andere URL maakt naar dezelfde directory dan kan je die toch lezen. Niet heel veilig dus.

<Directory> beschermt de directory, onafhankelijk hoe je daar komt. Wel veilig dus.
Dat wist ik niet... toch nog wat geleerd vandaag ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq