Javascript Passwortschutz sicher oder nicht?

#0
13.05.2007, 00:34
...neu hier

Beiträge: 1
#1 Hallo zusammen,

ich diskutiere mit einem Kollegen ob ein Zugriffschutz per Javascript nun sicher ist oder nicht. Ich benutze folgendes Script:

Zitat

function Passprotect() {
var password = prompt("Password required:", "");
if (password) { this.location.href = "1/" + password + "_1.htm"; }}
Meiner Meinung ist diese Methode sicher. Ich lese immer mal wieder, dass dies unsicher sei, aber wie würde der Zugriffshack da aussehen? Das Verzeichnis 1/ ist natürlich geschützt, man kriegt also einen 403 wenn man direkt in das Verzeichnis springen will, mit wget gehts auch nicht. Ich denke, das ist (außer durch bruteforcen des Passworts) nicht zu knacken. Oder doch?

Beste Grüße
Robert
Seitenanfang Seitenende
13.05.2007, 00:49
Member
Avatar Laserpointa

Beiträge: 2174
#2 Hallo Robert,

generell ist das wohl eine der wenigen einigermaßen sicheren Javascript Passwort Schutz Techniken...

allerdings nur wenn Deine Website kein
# Directory Listing erlaubt (Serverkonfiguration - eine index Datei im Ordner reicht nicht)

+ ansonsten können andere Leute natürlich immer noch über die History sehen welche Seite jemand der das Passwort kennt aufgerufen hat.
+ aussenstehende könnten direkt auf die Seite verlinken

also ich sage mal mittelmäßiger Schutz ;)
besser sind immer serverseitige Schutztechniken wie z.B. mit der .htaccess

Greetz Lp

P.S. siehe auch ähnliche Themen unter diesem Thread.
Seitenanfang Seitenende
14.05.2007, 23:48
Member
Avatar Xeper

Beiträge: 5285
#3

Zitat

also ich sage mal mittelmäßiger Schutz
besser sind immer serverseitige Schutztechniken wie z.B. mit der .htaccess
Oder server-seitige Programmiersprachen wie PHP.
Javascript eignet sich denkbar schlecht weil ja schon der Code ohne weitere Probleme einsichtbar ist und der Code erst die Wirkung beim Browser selbst erzielt.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
14.08.2007, 22:33
...neu hier

Beiträge: 7
#4 Dafür, dass hier auf einen Serverseitigen Schutz verzichtet wird ist diese Lösung recht nett, aber wenn Dein Server PHP unterstützt würd ich es lieber damit machen .

Ein Problem sehe ich allerdings bei Deiner Variante:
Im Quelltext Deines Javascriptes lässt sich leicht rauslesen, dass es sich um eine geheime .htm-Datei handelt.
Wer diese sehen will wird mal ein kleines Script basteln, das alle Varianten (z.B. 6-Stellig) von aaaaaa.htm - zzzzzz.htm durchtestet.
__________
Dieser Beitrag wurde mit 100% Ökostrom erstellt.
Seitenanfang Seitenende
15.08.2007, 12:31
Member
Avatar ischtar

Beiträge: 157
#5

Zitat

Xeper postete

Zitat

also ich sage mal mittelmäßiger Schutz
besser sind immer serverseitige Schutztechniken wie z.B. mit der .htaccess
Oder server-seitige Programmiersprachen wie PHP.
Ei. Xeper empfiehlt PHP *kichert*.

Ich empfehle dir .htaccess, weil es mehrer Fliegen mit einer Klappe schlägt und man hierfür nicht zwingend den httpd umconfigen muss. Alles andere und sicher ist so ne Sache ..
__________
Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^
"Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles
Seitenanfang Seitenende
15.08.2007, 12:35
Member
Avatar Xeper

Beiträge: 5285
#6

Zitat

Ei. Xeper empfiehlt PHP *kichert*.
Jo wenn es die Aufgabe erfüllt. ;)

Zitat

Ich empfehle dir .htaccess, weil es mehrer Fliegen mit einer Klappe schlägt und man hierfür nicht zwingend den httpd umconfigen muss. Alles andere und sicher ist so ne Sache ..
Mit erweiterbarkeit für Mehrbenutzer ist das aber wieder nen Problem und mit ner SQL Datenbank arbeitet das auch nicht gut zusammen.
Desweiteren wer sagt das .htaccess funktioniert und das die Webserver SW Apache heißt?
Gibt ja auch Leute die haben kein Apache und wollen auch kein ;)
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
15.08.2007, 12:41
Member
Avatar ischtar

Beiträge: 157
#7 Ich habe keine Probleme mit Multiuser & .htaccess. Und wenn der Webserver nicht Apache heisst, lässt sich dieser Fehler ja beheben ;)
__________
Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^
"Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles
Seitenanfang Seitenende
15.08.2007, 12:43
Member
Avatar Xeper

Beiträge: 5285
#8

Zitat

Ich habe keine Probleme mit Multiuser & .htaccess.
Schon Möglich das kommt dann auf die Anzahl an.

Zitat

Und wenn der Webserver nicht Apache heisst, lässt sich dieser Fehler ja beheben
Apache ist zu schwerfällig, die config ist eine Katastrophe und der Code selber eingefummel und gefrikel.
Besonders 2.x kp was die jetzt alles daran verbesser haben bin scho seit > 1 Jahr weg von dem Mist.
Du kannst höchstens sagen du kennst keine anderen httpd weil Apache der war womit GNU/Linux unter anderem bekannt wurde und einen Boom verursacht hatte, ja stimmt aber das war früher.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
15.08.2007, 12:49
Member
Avatar ischtar

Beiträge: 157
#9 Apache ist mächtig und normal musst du an der config nichts drehen, bzw nicht viel, aber du kannst es. Und dieses Potential ist es, was den Apache zu dem macht was er ist. Aber da wir wieder ins OffTopic rutschen :X
__________
Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^
"Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles
Seitenanfang Seitenende