xDSL.at

[hannibal218bc]

Die einzig sinnvolle Möglichkeit ist IMHO die Authentifizierung des Apache-Server zu verwenden (sofern du die Möglichkeiten dazu hast). Jedenfalls ist es wesentlich einfacher und sicherer als jede Javascript-Methode.

"Sicherer"... ich würd einmal sagen, genauso sicher wie die Passwortüberprüfungen in Javascript, weil auch bei der Basic-Authentifizierung (soweit ich weiß ist derzeit keine andere implementiert) Username und Passwort im Klartext gesendet werden.

Gut, über eine sichere Verbindung...

Zum Thema "script code verstecken": alles was ein Browser (wenn auch intern) laden kann, kann man auch "per Hand" auslesen, und die Rechtsklick-Verhinder-Sites beißen sich zB an einem gut konfigurierten Firefox/Opera/Mozilla auch die Zähne aus.


lg
-h

[dfx]

ich würd einmal sagen, genauso sicher wie die Passwortüberprüfungen in Javascript, weil auch bei der Basic-Authentifizierung (soweit ich weiß ist derzeit keine andere implementiert) Username und Passwort im Klartext gesendet werden.

das schon, aber hier geht's ja nicht darum, daß die logindaten während der authentifizierung von dritten ausgelesen werden können (was der einzige grund ist, warum man logindaten nicht plaintext übermitteln sollte). es geht darum, daß bei javascript-authentifizierung die überprüfung der logindaten direkt im browser geschieht und der algorithmus dafür so lokal nachvollziehbar ist (mit ausnahme der "redirect-auf-passwort-punkt-html" methode, was keine echte authentifizierung ist), währenddessen bei authentifizierung über http/cgi/php die logindaten nur an den server geschickt werden und die überprüfung dann dort geschieht, wodurch man als user keinen einblick in den algorithmus hat und die authentifizierung somit als "black box" erscheint.

Zum Thema "script code verstecken": alles was ein Browser (wenn auch intern) laden kann, kann man auch "per Hand" auslesen, und die Rechtsklick-Verhinder-Sites beißen sich zB an einem gut konfigurierten Firefox/Opera/Mozilla auch die Zähne aus.

wer nicht weiß, wie er ohne browser an den source code einer webseite kommt, sollte sowieso die finger von irgendwelchen authentifizierungsschemen lassen...

[TheProdigy]

@dfx ... bin ganz deiner Meinung

Authentifizierung via .htaccess ist nur für Man-in-the-middle-Attacken anfällig, da das Passwort im Klartext übertragen wird. Eine Authentifizierung via JavaScript kann aber jeder halbwegs Versierte lokal über die vom Browser zur Verfügung gestellten Mittel knacken.

Zum Thema "script code verstecken": da sind wir eh einer Meinung - ich verstehe die Programmierer dieses Spiels auch nicht ganz, die betreiben einen Mordsaufwand, der aber im Endeffekt trotzdem unsicher ist (wie ihr es gesagt habt).