"Administrator Apache Auth"
Basic Authentication ist genauso wie Digest Authentication des Apache Web Servers ein Authentifizierungsmechanismus aus den 1990ern, im Jahr 2025 entsprechend ungewöhnlich:
Eines von vielen Problemen beider Mechanismen ist, dass die Benutzeranmeldung (Authentication) im Web Server und nicht in der Anwendung läuft, Gruppen und/oder feingranulare Berechtigungen gar nicht abgebildet werden können.
Bei Digest Authentication wird zumindest nur noch ein Hash und nicht mehr das Kennwort im Klartext übertragen, das ist aber von Standard her weit unter dem, wie aktuelle Authentifizierungsprotokolle funktionieren und was wir heute als sicher erachten, denken Sie nur an einen zweiten Faktor.
Wenn man in die Dokumentation von Apache schaut, gibt es sogar noch eine Überraschung:
This module implements HTTP Digest Authentication (RFC2617), and provides an alternative to mod_auth_basic where the password is not transmitted as cleartext. However, this does not lead to a significant security advantage over basic authentication. On the other hand, the password storage on the server is much less secure with digest authentication than with basic authentication. Therefore, using basic auth and encrypting the whole connection using mod_ssl is a much better alternative.
Apache empfiehlt uns also, Digest Authentication nicht zu verwenden, sondern bei Basic Authentication zu bleiben!
Den Hinweis Spannendes Projekt kann man vor diesem Hintergrund wirklich nur so verstehen, dass es spannend ist, dass jemand so etwas im Jahr 2025 wirklich noch einsetzen will und Hinweise in der Dokumentation ignoriert werden.
Comments ()