Hoe veilig is .htpasswd?

Bij mijn weten is het niet snel te kraken (crypt() algoritme is nou niet zo makkelijk te kraken)

Zeker niet als men niet bij je .htpasswd files kan.
Dat is ook gelijk het belangrijkste punt dat je niet mag vergeten.

Mensen met 'shell access' (die dus gewoon direct op de server kunnen) worden niet gehinderd door die gekke .htaccess/.htpasswd.

Als je er voor zorgt dat je .htpasswd alleen maar GET afvangt, dus je hebt iets als 'limit GET...'
dan ben je ook niet handig bezig, want dan is elke page alsnog met 'POST en HEAD' te bekijken. (gewoon niet die limit neerzetten als je alles wilt blokken).

Het is in zoverre makkelijk te kraken dat jouw password als je inlogt met je user/pass op een website gewoon als plaintext van je browser naar de server wordt gestuurd. Wanneer iemand dat afvangt heeft die persoon dus jouw password.

Wil je het helemaal veilig maken, dan zal je iets met SSL en certificaten moeten doen.

Een vraagje wat ik er ff achteraan gooi nu we het toch over .htaccess / htpasswd hebben.

Zodra die in een dir staan die via het web wordt benadert dan verschijnt er een popup scherm waarin gevraagd wordt om de username en het pasword. Is het ook mogelijk om deze gegeven vanuit een form te verzenden naar de .htaccess? Dan zou je dus het login venster mooi kunnen integreren in een site.

Iemand?

Op donderdag 27 september 2001 20:51 schreef The Source het volgende:
Een vraagje wat ik er ff achteraan gooi nu we het toch over .htaccess / htpasswd hebben.

Zodra die in een dir staan die via het web wordt benadert dan verschijnt er een popup scherm waarin gevraagd wordt om de username en het pasword. Is het ook mogelijk om deze gegeven vanuit een form te verzenden naar de .htaccess? Dan zou je dus het login venster mooi kunnen integreren in een site.

Iemand?

http://username:password@www.blaat.nl/beveiligd/ will do the trick in bijna alle browsers

Op donderdag 27 september 2001 20:51 schreef The Source het volgende:

Wellicht kan het met een 403-vervangende page...

Kweet iig wel, als je de 403 vervangt, dat je na de eerste 'foute login' je eigen 403-page krijgt

Op vrijdag 28 september 2001 09:08 schreef scubapro het volgende:

...nu begrijp ik ook waarom alle wachtwoorden (in ieder geval bij mijn weten) van Widexs een @ bevatten. Deze methode werkt bij Widexs dus niet, tenzij je een ander wachtwoord gebruikt natuurlijk.

En als je de @ in je wachtwoord vervangt door %40 ?

Op zaterdag 29 september 2001 14:13 schreef rvm het volgende:

[..]

En als je de @ in je wachtwoord vervangt door %40 ?

wordt ie als nog als @ gezien toch ?