Sicherheitstipps für PHP 5: HTTP-Authentifizierung

Weitere Artikel aus dem Webentwickler Blog

Um Sicherheitsrisiken beim eigenen Webserver oder einem vom Provider bereitgestellten Webspace und deren Beseitigung sollte man sich als sicherheitsbewusster Entwickler kümmern. Natürlich wird es nie absolute Sicherheit geben, aber mit ein wenig Aufwand kann man es den bösen Jungs zumindest etwas schwerer machen.

Hinweis: Die hier aufgeführten Möglichkeiten erheben nicht den Anspruch, absolute Sicherheit zu bieten. Es gibt eine einfache Tatsache, die unumstößlich ist: Für jedes Schloss gibt es auch einen Schlüssel, und alle Türen können geöffnet werden!

Die Authentifizierung über das HTTP-Protokoll ist sicher eine der bequemsten Möglichkeiten, einen Anwender zu einer Identifizierung zu veranlassen. Der Server bzw. das Skript sendet einen HTTP-Header an den Browser, der zur Authentifizierung auffordert. Der Anwender erhält daraufhin vom Browser ein Loginfenster präsentiert. Der Anwender loggt sich ein und erhält Zugriff auf den geschützten Bereich. Kann dieser nicht identifiziert werden, so wird der Zugriff verweigert und der Anwender erhält eine Fehlermeldung. Der Apache-Webserver ermöglicht es, ein Verzeichnis und sämtliche Unterverzeichnisse durch eine sogenannte .htaccess-Datei zu schützen. Eine solche Datei sieht wie folgt aus:

AuthUserFile /htdocs/user/www.domain.de/admin/.htpasswd
AuthName Madania
AuthType Basic
require valid-user

Tipp: Unter Unix sorgt der Punkt vor dem htaccess-Dateinamen dafür, dass diese Datei versteckt wird. Dies können Sie auch auf eigene Dateien anwenden.

Hat sich ein Anwender über die Webserver-Authentifizierung angemeldet, können Sie mithilfe der globalen Servervariablen $_SERVER["REMOTE_USER"] den Benutzernamen des angemeldeten Anwenders und mit $_SERVER["AUTH_TYPE"] die Authentifizierungsmethode ermitteln.

Anpassen der Passwortdatei

Die Webserver-Identifizierung hat einen wesentlichen Nachteil: Sie müssen den Anwender nicht nur für die jeweilige Webanwendung registrieren, sondern auch beim Webserver. Eine Passwortänderung muss dem Server ebenfalls mitgeteilt werden.

Natürlich können Sie jederzeit den Serveradministrator darum bitten, die Anpassungen vorzunehmen, doch ich will Ihnen eine Lösung vorstellen, mit der es einfach ist, die Änderungen selbst vorzunehmen.

Ein Eintrag in einer gültigen Passwortdatei, welche in den meisten Fällen den Dateinamen .htpasswd besitzt, setzt sich aus einer Zeile zusammen. Die Zeile stellt sich wie folgt dar:

Nutzername: Passwort

Diese Zeile können Sie mithilfe von PHP auch selbst erzeugen bzw. anfügen, und zwar mit der Funktion setze_passwort():

Ich empfehle Ihnen, die Funktion in eine Datei mit dem Namen phpcrypt.php abzulegen. So können Sie bei Bedarf auf die Funktion zugreifen. Beispiel – Anlegen eines Benutzers (Anwenders):

Ganzen Artikel lesen...

Die Funktion ist in der Lage, · ein Nutzerpasswort zu ändern, · einen neuen Benutzer samt Passwort anzulegen, · einen Benutzer samt Passwort zu löschen.

Sie erhält den Dateinamen, den Benutzernamen und das Passwort. Sollte das Passwort nicht vorhanden bzw. leer sein, wird der betreffende Benutzer aus der Datei entfernt. Sie ist in der Lage, die Passwortdatei zu erzeugen oder eine vorhandene zu öffnen.

Sollte die Passwortdatei vorhanden sein, wird sie nach entsprechenden Benutzernamen durchsucht. Sollte der Benutzername vorhanden sein, wird dessen Passwort entweder ersetzt oder, wenn das Passwort, welches im Argument $nutzer_pwd festgelegt wird, leer sein sollte, der Benutzer aus der Datei entfernt. Wird kein Benutzer gefunden, wird ein neuer Eintrag in der Passwortdatei angelegt. Die jeweiligen Passwörter in der Passwortdatei müssen verschlüsselt abgelegt werden. Die Funktion, die Ihnen bei der Verschlüsselung behilflich ist, lautet crypt().

Sie erhält das Passwort im Klartext übergeben und als Schlüsselbasis wird der dritte und zweite Buchstabe des Benutzernamens verwendet. Das so erzeugte Passwort wird dem String hinzugefügt, welcher sich aus Benutzername und verschlüsseltem Passwort zusammensetzt und in der Variablen $neu_pwd liegt. Anschließend wird die neu erzeugte Passwortdatei gespeichert.

Da ein Eingriff in die Passwortdatei auch zu Problemen führen kann, sollte man an eine Sicherung der möglicherweise vorhandenen Passwortdatei denken. Daher wird bei jeder Anpassung der Passwortdatei eine Kopie der Datei angelegt, sofern diese vorhanden ist. Sollten sämtliche Prozesse innerhalb der Funktion setze_passwort()fehlerfrei durchlaufen worden sein, wird diese truezurückliefern, andernfalls false.

Achtung: Es wird nicht geprüft, ob Sie bzw. das PHP-Skript das Recht haben, Änderungen an der Datei vorzunehmen. Daher sollten Sie vorab klären, ob dem so ist.

Dieser Abschnitt wurde der aktuellen Ausgabe des Buches "PHP 5/MySQL 5" von Matthias Kannengiesser entnommen, die im Oktober 2009 im Franzis-Verlag erschienen ist. Das Buch ist hierdirekt bestellbar.

Matthias Kannengiesser

Lernen Sie die ganze Vielfalt vom Franzis Buch- und Softwareverlag kennen