Wie weit ist .htaccess sicher?

Computer: Software & Programmierung Server-Software
#1

Hallo

Mich würde mal interessieren wie weit der htaccess-Schutz sicher ist?
Hintergrund ist, das wir zu Hause eine Webcam aufstellen wollen,
und von unterwegs schauen was los ist.
Die Webcam lädt die Bilder alle paar Minuten auf einen Webserver der mit htaccess-geschütztes Verzeichnis hat.

Es geht nicht um Denial of Service-passwort-Erate-Attacken, sondern eher wie weit ist das auch vor Suchmaschinen sicher?

Nicht das google unsere Webcambilder in die Bildersuche aufnimmt oder so.
Bzw. wenn wir in dem Verzeichnis auch Daten für Freude ablegen, diese ebenfalls unfreiwllig öffentlich werden…

Wie kann man also ein Verzeichnis auf einem Webserver so absichern, das normalerweise ausgeschlossen ist das da jemand Drittes drankommt?

Danke

#2

Mich würde mal interessieren wie weit der htaccess-Schutz
sicher ist?
Hintergrund ist, das wir zu Hause eine Webcam aufstellen
wollen,
und von unterwegs schauen was los ist.
Die Webcam lädt die Bilder alle paar Minuten auf einen
Webserver der mit htaccess-geschütztes Verzeichnis hat.

Es geht nicht um Denial of Service-passwort-Erate-Attacken,
sondern eher wie weit ist das auch vor Suchmaschinen sicher?

Der Server liefert erstmal nicht die eigentliche Seite sondern eine Anfrage zur Authentisierung raus, erst wenn dazu die richtige Antwort zurückkommt wird die eigentliche Seite ausgeliefert. Vor Suchmaschinen ist das ziemlich sicher, weil die ja (zumindest normalerweise) keine Attacken fahren sondern nur den Inhalt erfassen, der ihnen direkt zugänglich ist. Solange du nicht gleich eine komplette kleine Website mit Benutzerverwaltung um die Bilder bauen willst sollte der Schutz per HTTP-Authorisierung vollkommen ausreichen. Wähl einfach das Passwort nach den gängigen Kriterien einigermaßen sicher, dann sollte da nichts passieren.

Je nachdem was dir an Server zur Verfügung steht kannst du ja auch HTTPS verwenden, damit die Zugangsdaten nicht im Klartext übers Netz gehen.

#3

Hallo!

Wie man die entsprechende Seite schützen könnte kannst du hier lesen:

http://de.selfhtml.org/html/kopfdaten/meta.htm#robots

Man kann auch in die .htaccess datei schutz einbauen, z.b. so:

order deny,allow
allow from all
deny from google.com google.de

Statt „allow from all“ könnte man auch „allow from www.deinehompage.de“ und „deny from all“ einbauen.

mehr fällt mir grade nich ein!

Gruß
Jonny

#4

Hallo,

> deny from google.com google.de

Keine Ahung, was das soll, aber mir klingt es so, als würdest Du in Wirklichkeit die robots.txt nutzen wollen.

„allow from www.deinehompage.de

Hm. Was mag da nur wieder die Idee hinter sein?

Gruß,

Sebastian

#5

Hm. Was mag da nur wieder die Idee hinter sein?

http://de.selfhtml.org/servercgi/server/htaccess.htm…
das sollte es klären

Gruß
Jonny

#6

Hallo,

Mich würde mal interessieren wie weit der htaccess-Schutz
sicher ist?

Ziemlich sicher eigentlich. Der vielversprechenste Angriff darauf ist zu probieren das Passwort abzufangen wenn es mal übertragen wird. Ohne Passwort kommt man nicht besonders weit.

Es geht nicht um Denial of Service-passwort-Erate-Attacken,
sondern eher wie weit ist das auch vor Suchmaschinen sicher?

Vor Suchmaschinen ist das sicher, die machen ja auch nichts anderes als ein Browser macht, nur dass sie Daten anders verarbeiten.

Wie kann man also ein Verzeichnis auf einem Webserver so
absichern, das normalerweise ausgeschlossen ist das da jemand
Drittes drankommt?

htaccess ist schon ziemlich gut. Wenn du noch mehr Sicherheit haben willst, solltest du die Daten verschlüsseln. Dann braucht allerdings jeder, der darauf zugreifen will, die entsprechende Software.

Grüße,
Moritz

#7

Danke…
Hallo

Vielen Dank für die vielen Antworten…

Je nachdem was dir an Server zur Verfügung steht kannst du ja
auch HTTPS verwenden, damit die Zugangsdaten nicht im Klartext
übers Netz gehen.

Wie richtet man dann bitte so eine SSL-Verschlüsselung unter Apache selber ein? (root-Server)
Woher ein SSL-Zertifikat kostenlos bekommen usw…
Danke

#8

Woher ein SSL-Zertifikat kostenlos bekommen usw…

Ein Zertifikat kannst du dir selber bauen, du brauchst ja nicht unbedingt ein von einer CA signiertes. Schmeiss dich in Google und such ein Tutorial, das dürfte die einfachste Lösung sein.

#9

Hy,

Woher ein SSL-Zertifikat kostenlos bekommen usw…

Entweder selbst basteln (naja).
Oder z.B. bei http://www.cacert.org anmelden und Dich von 2-3 Assurern in Deiner Umgebung oder auf ner Messe (z.B. Cebit, etc.) beglaubigen lassen. Damit wird ausgesagt, das Deine Zertifikate auch Glaubwürdig sind.

gruß
h.

1 Like