Simple vraag vermoedelijk niet het antwoord :)
is inloggen via htaccess veilig.
Dank
Jan
inloggen via .htaccess
2.749 views
Je gebruikersnaam en wachtwoord worden dan via base64 verstuurd. Dat is aardig veilig, al is het zelf versleutelen aan user-side naar méér dan base64 wel veiliger.
Uiteraard moet er dan wel SSL ingeïnstalleerd staan.
Voor de rest is het net zo veilig als de zwakste schakel: je wachtwoord en gebruikersnaam.
Voordeel is dat niet in een (in te breken) database staat. Wel is het uiteraard benaderbaar via FTP. Maar als ze daar al zijn, dan is het inbreken van de database ook geen probleem (aangezien de inloggegevens daarvan meestal wel in config.php oid staan)
Uiteraard moet er dan wel SSL ingeïnstalleerd staan.
Voor de rest is het net zo veilig als de zwakste schakel: je wachtwoord en gebruikersnaam.
Voordeel is dat niet in een (in te breken) database staat. Wel is het uiteraard benaderbaar via FTP. Maar als ze daar al zijn, dan is het inbreken van de database ook geen probleem (aangezien de inloggegevens daarvan meestal wel in config.php oid staan)
Eddy E op 11/08/2016 21:53:25
Uiteraard moet er dan wel SSL ingeïnstalleerd staan.
Dit geldt in alle gevallen waarbij er gevoelige informatie verstuurd wordt van server naar client of van client naar server.
Eddy E op 11/08/2016 21:53:25
Voor de rest is het net zo veilig als de zwakste schakel: je wachtwoord en gebruikersnaam.
Klopt, +1 voor Eddy :-) Toch nog even verduidelijken: gebruik lange gebruikersnamen / wachtwoorden of beter nog maak gewoon een sleutel aan die vooral niet te kort is.
Het helpt natuurlijk ook als je SFTP gebruikt en je phpmyadmin ook uitsluitend over SSL te benaderen is en je mysql server bij voorkeur geen verbindingen van buitenaf accepteert maar alleen van localhost.
Eddy E op 11/08/2016 21:53:25
Voordeel is dat niet in een (in te breken) database staat. Wel is het uiteraard benaderbaar via FTP. Maar als ze daar al zijn, dan is het inbreken van de database ook geen probleem (aangezien de inloggegevens daarvan meestal wel in config.php oid staan)
Lood om oud ijzer dus.
Je bent niet verplicht om basic authentication (base64) te gebruiken. Een andere optie is digest, wat met challenge/response werkt.
OK BEdankt
Gezien ssl actief is en geforceerd :) redelijk veilig.
Ik zal wel een kijken naar een langere login en paswoord :)
Jan
Gezien ssl actief is en geforceerd :) redelijk veilig.
Ik zal wel een kijken naar een langere login en paswoord :)
Jan
Frank Nietbelangrijk op 11/08/2016 22:42:07Lood om oud ijzer dus.
Nee, de eerste laag die inbrekers binnen komen is je database. Daar staat dan ook wel het belangrijkste aan data/gegevens.
Maar als je eenmaal de database in bent en je kan allerlei queries draaien, dan kan je nog niet op de FTP komen.
Dan heb je beschikking over (my)SQL...
Maar ben je eenmaal binnen op de FTP, dan is de database in komen een eitje.
Dan heb je beschikking over PHP, HTML, (my)SQL ... eigenlijk alles dus.