veilig, mits je ze goed instelt

Het lijkt me beter om het beschermen van een directory zodat alleen een aantal gebruikers de inhoud ervan kunnen zien te regelen met een php script en sessies. Met sessies en php heb je een veel groter aantal mogelijkheden die je kunt implementeren dan alleen het beschermen van een directory, daar boven op is een .htaccess login makkelijker te brute forcen, het vereist namelijk minder rekenkracht en netwerkcapaciteit omdat niet eerst nog html code opgehaald hoeft te worden (lijkt me).

Ook al is een .htaccess login goed genoeg voor een 'privé-directory' met wat bestanden, waarbij niet veel mensen bij hoeven.

Conclusie:
Voor even snel een directory beschermen met een wachtwoord (voor tijdens webontwikkeling ofzo) .htaccess

Voor een productie omgeving met meerdere gebruikers die verschillende rechten hebben: sessies en php,oid

hey,

ik heb net ontdekt wanneer je bijvoorbeeld een php script in een htaccess map plaatst en je vervolgens in een andere map een php script plaatst en de php file uit de htaccess map include je deze php file zomaar kan uitlezen.

ergens snap ik wel dat het htaccess script op deze manier zijn functionaliteit verliest, maar als iemand er in slaagt om een php file op je server te plaatsen (b.v : slecht beveiligd uploadscript) is de htaccess snel achterhaald natuurlijk lijkt mij.

Kan je php bestanden vanaf een andere webserver includen in een php script of je eigen webserver ?

In principe is het maken van een login niets meer dan de toegang beperken van BUITENAF, heeft iemand al toegang tot je server dan kan sowieso ieder bestand beschikbaar onder de rechten van de gebruiker worden uitgelezen. Ook al zal iemand als nog moeten brute forcen als die je .htpasswd bestand kan inzien

Als je PHP bestanden remote zou kunnen uitlezen, dan kan dit ook door iedere buitenstaander gedaan worden, dus nee. Maar je kan wel een ssh tunnel ofzo tussen twee servers maken om zo de bestanden te kunnen includen, ook al lijkt me dit heel wat meer gedoe dan de bestanden gewoon lokaal op 1 server opslaan als het geen facebook/google achtige website is.

htaccess moet je gebruiken waar het voor is. Authenticatie en autorisatie van gebruikers van een webdienst. Daarvoor is het niet beter of slechter dan een phpscript, maar je moet niet vergeten dat het alleen de toegang tot een (sub)directory beperkt. Het is zeker niet achterhaald, maar je moet van deze methode gewoon weten wat de beperkingen en mogelijkheden zijn.

Brute forcen van htaccess kan je net zo hard tarpitten als je zelf wilt, zonder dat je hele lappen data naar de client moet sturen eerst. Het is qua serverbelasting in theorie eenvoudiger laag te houden dan iets met een script te doen wat weer een losse file moet lezen of een databaseconnectie moet maken en dergelijke.

jah, klopt, want PHP word uitgevoerd op de server, en niet rechtstreeks benaderd vanuit de client. Dus als de gebruiker waaronder apache draait gewoon via het OS toegang heeft tot de folder, dan kan deze erbij. rechtstreeks benaderen door de client zal niet mogelijk zijn.

en onbekend of htaccess lockout mogelijkheden heeft, als wel, dan word brute forcen lastiger. (mits password lang genoeg is) Daarnaast, als het een specifieke username is, dan moet die ook worden brute forced... dat maakt het nog lastiger. "admin" "beheerder" etc zijn niet de meest slimme usernames die je erop kan gebruiken...

dit is gewoon een uitleg over wat de topic starter vraagt. en daarbij is het niet erg duidelijk!

.htaccess is vrij voldoende, alleen voor de meer ervaren gebruikers (pentesters) kunnen dit 'htaccess bypass' toepassen.
dit word veelal gedaan via de GETS (IPV) GET methode. ik zal hier niet té diep op ingaan, mochtje geinteresseert zijn in het uitvoeren van zoiets, raadt ik je aan google te gebruiken. verder wat de topic starter vraagt: hoe dit tegen te gaan? en of dit afdoende is. niets is afdoende er is altijd wel iemand die meer weet dan jij en je systeem overneemt. protect je systeem gewoon met .htaccess en geef de mappen niet te veel rechten. verder (wat ik de meeste mensen aanraad) is het opensource firewall CSF (Config Server Firewall) en laat die jouw mappen op veranderingen en aanvallen checken.

dit gaat prima, ook tegen de GETS methode. dit zou voldoende moeten zijn, omdat GETS niet door iedereen gedaan kan worden. (ik heb er veel prutsers gezien)

de methode die CSF gebruikt is DIR watch.


Succes.

Mvg SSTeam.

Precies... zoals de 1e reply al aangaf: veilig mits goed ingesteld...

Helaas zijn veel .htaccess-voorbeelden die je op internet vind niet (volledig) juist, en daarom niet 100% veilig.

.htaccess werkt prima als 1) deze bestanden niet remote te lezen zijn (al dan niet via 'n LFI-attack) en 2) als je niet alleen GET/POST-requests limiteert, maar ALLE requests.

That's all..

Zet je access settings in de conf files. htaccess e.d. zijn oude stijl, staan in de betreffende web directories en daardoor zijn ze minder veilig.

Je hebt niet altijd toegang tot die config bestanden als je ergens wat hosting huurt. Dan is .htaccess wel erg handig. Zeker als je niet met PHP aan de gang wilt.

Als je web hosting hebt op een shared server, dan ben je afhankelijk van de inspanningen van de hoster op het gebied van beveiliging. Met name het installeren van security updates en het instellen van permissies. Ongevraagd zijn vaak een aantal applicaties geïnstalleerd, zoals Wordpress (onder PHP) die misbruikt kunnen worden om in te breken op een systeem, ook als je ze niet gebruikt.

Overigens is de belangrijkste reden van inbraken op web sites het onderscheppen van wachtwoorden op geïnfecteerde werkstations. De veiligheid van je server begint dus bij de veiligheid van je werkstation.

Rechten regel je op alle niveau's: web server, applicatieframework (PHP) en web applicatie. Het één is niet een vervanging voor de ander.