Willkommen Gast. Bitte anmelden oder registrieren.

Autor Thema: Administrator-Verzeichnis per htaccess schützen  (Gelesen 91474 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Firstlady

  • Pink Berserk (Mod)
  • Beiträge: 190
    • www.chmst.de
Administrator-Verzeichnis per htaccess schützen
« am: 06. Januar 2014, 18:34:55 »
Mit Bots hat das jetzt nicht unbedingt zu tun, aber ich setze meine Frage einmal hier herein.
Wie seht ihr die Notwendigkeit, das Administratorverzeichnis extra mit einer htaccess zu schützen?
Bis vor ca. 2 Jahren oder so gab es darum großen Wirbel und ich habe das auch brav praktiziert, inzwischen scheint das nicht mehr so propagiert zu werden. Gibt es da eine Begründung?
Grüße, Christiane

Webworker Berlin

  • Bestätigter Nutzer
  • Beiträge: 26
    • Webworker Berlin
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #1 am: 01. Februar 2014, 23:48:04 »
moin Christiane. Ich habe das noch nie praktiziert, da ich bei einem sicheren Passwort einen htaccess Schutz davor zu packen für unnötig halte. Die die es immer propagierten tun dies auch jetzt noch. Meine Meinung ist: Wer denkt das er es brauch soll es tun. Viele fühlen sich dadurch sicherer. Ist auch was wert ^^

kitepascal

  • Bestätigter Nutzer
  • Beiträge: 2
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #2 am: 03. Februar 2014, 13:20:31 »
Der htaccess Schutz ist dann sinnvoll, wenn es bekannte Sicherheitslücken im Backend gibt. Idealerweise sollte das natürlich nicht der Fall sein..
Wenn dem doch so ist (Beispiel eXtplorer), hat dieser Schutz bei sehr wenig Aufwand einen großen Effekt.

Zitat Flotte:
"Ein Vielzahl typischer Massenhacks wird dadurch verhindert."

Zusätzlich gibt's keine Brute-Force-Attacken mehr auf den Admin Bereich, die je nach Umgebung (ohne serverseitigen Schutz) und ohne den Einsatz von zusätzlichen Plugins oft vorkommen. Stoße immer wieder auf error.phps mit mehreren Tausend Zeilen.

Joomla FAILURE:    Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

Webworker Berlin

  • Bestätigter Nutzer
  • Beiträge: 26
    • Webworker Berlin
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #3 am: 09. Februar 2014, 14:56:00 »
Zitat
Stoße immer wieder auf error.phps mit mehreren Tausend Zeilen.

Und ?


Firstlady

  • Pink Berserk (Mod)
  • Beiträge: 190
    • www.chmst.de
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #4 am: 10. Februar 2014, 12:19:36 »
Also danke euch beiden - jetzt kann ich mich ja entscheiden was ich mache. Die brute force Attacken habe ich schon gesehen - einerseits erschreckend - andererseits "na und"?
Tatsache ist, dass es für die Redakteure, die im backend arbeiten, immer lästig (und unverständlich) ist, wenn sie mehrere Passwörter eingeben müssen und immer wieder ihre Zugangsdaten verwechseln oder verlegen. Auch ich finde es lästig. Ich werde also würfeln müssen :)
Grüße, Christiane

zero24

  • Bestätigter Nutzer
  • Beiträge: 90
    • Meine Webseite
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #5 am: 12. Februar 2014, 16:15:13 »
Hi

es gibt doch die Möglichkeit nur bestimmte IPs zu erlauben bzw. zu verbieten.
http://www.webinteger.net/tutorial/webmaster/htaccess/ip-adressen-auschliessen-zulassen.html

Cool finde ich auch wie da hier gelöst wurde:
http://www.butschek.de/2010/01/16/htaccess-ip-oder-passwort/

Entweder IP passt oder ein Passwort wird verlangt.
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

Sammy

  • Bestätigter Nutzer
  • Beiträge: 165
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #6 am: 18. Februar 2014, 19:15:57 »
Frohes Neues :-)
Ich sag jetzt auch noch mal was: Mit aktiver .htaccess sparst Du Dir bei bruteforce schon mal eine Menge Logs und das Problem mit 'bekannten' Backendlücken ist grundsätzlich, dass sie auch eine 'unbekannte' Phase durchlaufen.
Wie man am aktuellen AVM-Fall sehen kann, kann man eigentlich nie genug Sicherheit haben.

Ich würde das statt 'sollte man' eher als zusätzliche Möglichkeit sehen und warum 'sollte man die nicht nutzen'.

bembelimen

  • moderatives Dielektrikum
  • Beiträge: 227
  • Ich kam, sah und zensierte...
    • Joomla! Vereinsverwaltung
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #7 am: 18. Februar 2014, 20:06:15 »
Ich sehe den Passwortschutz des Backends für Redakteure auch eher als nervend an, die haben ja schon Probleme, wenn das Passwort nicht "gabi123" lautet. Eine sexy Lösung finde ich den Schutz per Cookie.

1. man erstellt eine PHP Datei, die ein Cookie setzt und zum Backend weiter leitet (/administrator)
2. man nutzt die Joomla! Redirect Komponente und erstellt einen "einfachen" Link zu dieser PHP Datei, z.B. "login"
3. man packt in seine htaccess sowas in der Art:

RewriteEngine On
RewriteCond %{HTTP_COOKIE} !cookie_name=cookie_wert; [NC]
RewriteRule ^ http://www.google.com [NC,L]

Nun gibt man dem Redakteur einfach den Link: www.example.org/login, er wird automatisch verifiziert und zum Backend weitergeleitet. Danach kann er sich ganz normal einloggen. Im Idealfall merkt er gar nichts von der Weiterleitung. Direkte Bruteforce-Attacken laufen aber ins leere. (Natürlich ist das kein 100% Schutz, wenn jemand den "login"-Link kennt, kommt er drauf, aber ich denke für Gießkannenattacken ist es ausreichend)
Joomla! ist auch nur ein Mensch...

Firstlady

  • Pink Berserk (Mod)
  • Beiträge: 190
    • www.chmst.de
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #8 am: 19. Februar 2014, 09:01:49 »
Das ist wirklich sexy, ein Cookie und die htaccess zu kombinieren.
Der Link von zero24, in dem die erlaubten IPs in die htaccess geschrieben werden und alle anderen ein Passwort eingeben müssen, gefällt mir auch aber das ist doch raffinierter.

Falls ich demnächst mit dem "Weisse Seite in Backend und Frontend Hilfeschrei" ankomme, wisst ihr, weshalb :)
« Letzte Änderung: 19. Februar 2014, 10:32:11 von Firstlady »
Grüße, Christiane

Webworker Berlin

  • Bestätigter Nutzer
  • Beiträge: 26
    • Webworker Berlin
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #9 am: 02. März 2014, 10:34:53 »
Das mit den IP Adressen ist in meinen Augen eher nicht wirklich anwendbar. Meine IP ist zB immer anders ^^

jacxx

  • Bestätigter Nutzer
  • Beiträge: 30
  • Honk
    • naa:doo?
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #10 am: 22. August 2014, 18:09:01 »
Dafür gibt es dann GetIP ;)
Veni vidi stupere

FINWICK

  • Gast
Antw: Administrator-Verzeichnis per htaccess schützen
« Antwort #11 am: 24. August 2014, 10:04:00 »
Eine Alternative um den Admin-Zugang zu beschänken ist auch ein Client-Zertifikat.
http://www.phpgangsta.de/client-zertifikate-als-sicherer-login-ersatz