Hi,
dem muß ich leider widersprechen (was zumindest die Sicherung über .htaccess betrifft). Du brauchst einfach nur in das offizielle Dokument vom W3C zu sehen RFC2617 [ ftp://ftp.isi.edu/in-notes/rfc2617.txt ]
Dort steht auf Seite 5/6 wie der Username und das Password kodiert sind (kodiert nicht im Sinne von verschlüsselt). Dort steht, das die Base64-Kodierung dafür Anwendung findet:
<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
challenge = "Basic" realm
credentials = "Basic" basic-credentials
basic-credentials = base64-user-pass
base64-user-pass = <base64 [4] encoding of user-pass, except not limited to 76 char/line>
user-pass = userid ":" password
userid = *<TEXT excluding ":">
password = *TEXT
[/quote]
Ich hoffe Du verstehst diese Schreibweise (typisch für Spezifikation/Normen)
Weiter steht dann auf Seite 20:
<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Because Basic authentication involves the cleartext transmission of passwords it SHOULD NOT be used (without enhancements) to protect sensitive or valuable information. [/quote]
Übrigens es wird vom Apache z.Zt. NUR Basic-Authentification unterstützt. Ich glaube für die Digest gibt es noch keine richtige Implementierung, da man sich auf die Verschlüsselungsmethode noch nicht geeinigt hat.
Dem muß 2. auch widersprechen was das Login bei z.B. web.de (nicht SSL-Login) betrifft. Wenn man sich dort die Seite im Source anschaut steht dort im wesentlichen:
Code:
<INPUT TYPE="PASSWORD" NAME="rv_passwd" SIZE="12">
Also es wird ein 'INPUT' vom Typ 'PASSWORD' verwendet. Jetzt gehe ich wieder auf die offizielle Seite vom W3C [ http://www.w3.org/TR/html401 ] (Diesmal natürlich zum HTML und nicht mehr HTTP). Klicke mich zur entsprechenden Beschreibung durch und finde [ http://www.w3.org/TR/html401/interac...-control-types ]:
[QOUTE]
17.4.1 Control types created with INPUT
The control type defined by the INPUT element depends on the value of the type attribute:
text
Creates a single-line text input control.
password
Like "text", but the input text is rendered in such a way as to hide the characters (e.g., a series of asterisks). This control
type is often used for sensitive input such as passwords. Note that the current value is the text entered by the user, not the
text rendered by the user agent.
Note. Application designers should note that this mechanism affords only light security protection. Although the
password is masked by user agents from casual observers, it is transmitted to the server in clear text, and may be read
by anyone with low-level access to the network.
[/QOUTE]
Gruß
&n bsp; &nbs p; -= Pingu =-
PS: man sollte immer die Original-Quellen kennen.
[ 12. Juni 2001: Beitrag editiert von: Pingu ]
Lesezeichen