| 

.NET C# Java Javascript Exception

2
Hallo zusammen,

ich möchte auf meiner Website gerne eine Seite (Admin-Bereich) per htaccess mit einem Passwort schützen. Um die normale Passwortabfrage noch etwas zu optimieren würde ich darüber hinaus gerne einen falschen Login als Honeypot erstellen (zB. user:admin pw:password) der bei einer brute-force bzw. dictionary attack greift.
Ziel wäre es in diesem Fall, dass jemand der sich mit diesem Honeypot-Login einloggt auf eine andere Seite geleitet wird, die z.B. einen Blacklist Eintrag mit der IP erstellt.

Also zum Beispiel:
domain.tld/admin/ => erzeugt Passwortabfrage
wenn user "real_username" ist soll der zugang zu domain.tld/admin/index.php gewährt werden.
wenn user aber "fake_username" ist soll ein redirect zu blacklist.php o.ä. stattfinden.

ist soetwas möglich? Oder gibt es möglicherweise bessere Möglichkeiten als eine htacces?
Ich muss an dieser Stelle leider zugeben, dass ich nur sehr oberflächliche Programmier-Kenntnisse habe und hoffe deshalb, dass Ihr mir weiterhelfen könnt.


Vielen Dank!
Annubis
News:
20.09.2013
Annubis 11 2
Bitte sei mir nicht böse wenn ich das so direkt sage, aber: "oberflächliche Programmier-Kenntnisse" und "Admin-Bereich" sind meiner Meinung nach keine gute Kombination
Jaksa 20.09.2013
Ich verstehe zwar den Grundgedanken von deinem Post, aber bin anderer Meinung. Ich bastel hier natürlich nicht an irgendwelchen wichtigen Systemen herum, deren Sicherheit ich durch mein Unwissen gefärde. Sondern ich Programmiere einfach nur einen eigenen Blog für den ich schlicht und ergreifend auch ein Interface benötige das ich gerne schützen möchte. Das wird mir doch wohl ohne Informatikstudium erlaubt sein hoffe ich :)
Annubis 20.09.2013
2 Antworten
1
Kurzes Update für alle interessierten. Ich habe keine Möglichkeit gefunden den gewünschten Redirect direkt in der .htaccess zu erzeugen. Allerdings kann ich - so wie es ausschaut - nachdem die Anmeldung erfolgreich war per PHP mit der Variable $_SERVER['PHP_AUTH_USER'] den Benutzernamen abfragen und damit dann ggf einen redirect setzen.
04.10.2013
Annubis 11 2
1
Beachte aber dass das nicht funktioniert wenn PHP über CGI eingebunden ist
Jaksa 04.10.2013
Ja, genau diese Problem ist aufgetreten. Mit $_SERVER['REMOTE_USER'] konnte ich den User trotzdem auslesen.
Annubis 04.10.2013
0
Ich kenne mich zwar mit htaccess nicht besonders gut aus, aber ich denke, das sollte möglich sein. Aus Zeitmangel erst mal nur ein Link:

http://www.apacheweek.com/features/userauth

Vielleicht kommst Du damit schon weiter.
20.09.2013
Matthias Hlawatsch 13,2k 4 9

Stelle deine Htaccess-Frage jetzt!