Zugriffsschutz

Zugangsschutz

Zugriffsschutz, Zugriffskontrolle oder Zugriffsverhinderung sind Verfahren, mit denen unbefugter Zutritt von Menschen oder Computern zu Betriebsmitteln - wie Computern, Peripheriegeräten, Arbeitsspeichern, Datendateien, Konten, Netzwerken oder Programmen - unterbunden werden soll. Zugriffsschutz bedeutet, dass nur autorisierte Personengruppen auf die benannten Quellen haben.

Im Rahmen der Informationssicherheit sichert der Zugriffsschutz Vorrichtungen, Systeme und Informationen vor Manipulation und vor unbefugter Bearbeitung und Offenlegung. Die Zugriffssicherung beruht auf der Zugangskontrolle und startet mit dem Betriebsystem, das gewisse Akten so sichert, dass sie zwar angesehen, aber nicht editiert werden können, da die Editierfunktionen inaktiv sind.

Bei der Benutzerauthentifizierung werden zur Erhöhung der Datenschutzes Kennwortverfahren eingesetzt.

Sekundäre Links Secret links: Securité par l'[Bearbeiten]"mw-editsection-bracket">].

Abhängig von der Anwendung kann es für einen Benutzer auch wünschenswert sein, sich mit einem Usernamen und Kennwort zu identifizieren, damit er auf gewisse Informationen zugreifen kann. Gängige Verfahren sind das Versenden von Anschriften über Verteilerlisten oder Newsletters oder über andere eingeschränkte Websites, die ein Login mit zumindest einem Kennwort oder gar einem Nutzernamen erfordern.

Die Kommunikation zwischen Browsern und Webservern erfolgt über das HTTP-Protokoll, das einen verhältnismäßig einfachen Authentifizierungsmechanismus vorsieht. Die Webserver-Software ist so eingerichtet, dass sie beim Aufruf durch einen Kunden (z.B. einen Browser) Zugriffsdaten für gewisse Daten benötigt, die aus einem Usernamen und einem Kennwort bestehen.

Fehlende oder unangemessene Zugriffsdaten übergeben nicht die angefragte Ressourcen, sondern liefern eine Fehlermeldung mit einem entsprechenden Verweis (HTTP-Statuscode 401). Schlägt also ein erster Anruf im Webbrowser fehl, erhält der Nutzer ein Fenster zur Erfassung solcher Zugriffsdaten. Der Webbrowser stellt dem Nutzer dieses Dialogfeld immer wieder zur Verfügung, bis der Webbrowser einen anderen Statussatz liefert, entweder weil die Authentisierung erfolgreich war und die Anmeldeinformationen übereinstimmten oder weil ein anderer Irrtum auftrat ("Datei wurde nicht gefunden" oder die Grenze für erfolglose Versuche wurde erreicht).

HTACOCESS ist die Zugriffsbeschränkung, in der die Nutzernamen und die dazugehörigen Kennwörter gespeichert sind. Es kann nur geregelt werden, mit welchen Zugriffsdaten welche Daten abgerufen werden können (einzeln oder verzeichnisweit). Die Zugriffsdaten werden vom Webbrowser bis zum Ende der Session gespeichert und erst beim Schließen des Programms wieder vergessen. Inzwischen haben alle gebräuchlichen Browsers die Möglichkeit, die Zugriffsdaten permanent zu sichern, was das Problem mit dem Abmelden nicht mindert.

Wird eine Webseite mit einer Server-seitigen Programmsprache wie Perl oder PHP erstellt, kann mit dieser Skriptsprache ein deutlich leistungsstärkeres Zugriffskonzept realisiert werden. Weil HTTP ein zustandsloses Protokol ist, erfordert ein solches Verfahren eine Problemlösung, um den angemeldete Nutzer beim erneuten Abruf einer Ressourcen als solchen zu identifizieren.

Aus diesem Grund wird eine Lerneinheit bei erfolgreicher Anmeldung des Nutzers am Webserver eröffnet und der Webbrowser des Nutzers wird entweder über ein Cookie oder einen URL-Parameter über die Lerneinheit-ID informiert. Wenn der Webbrowser nun eine Informationsquelle aufruft, "erkennt" die Webseite den Nutzer anhand der mitgeteilten Sitzungs-ID und kann massgeschneiderte oder nur für den Nutzer bestimmtes Material bereitstellen.

Diese Sitzung wird entweder durch Abmeldung des Benutzers oder durch Ablauf eines Zeitlimits seit der letzten Anforderung einer Ressourcen durch den Nutzer abgebrochen. Eine sessionbasierte Zugriffsbeschränkung hat den Vorzug, dass sich ein Nutzer wieder ausloggen kann und dass der Anmeldeprozess besser angepasst werden kann, da die Login-Website im Grunde genommen aus einem HTML-Formular mit dem Namen HTML und dem Namen HTML besteht.

Für das Prüfen und Gestalten solcher Websites in einer Programmierumgebung reicht es nicht mehr aus, die Daten nur von der Harddisk im Webbrowser abzurufen. Der Martin hat im Internetforum folgende deskriptive Gegenüberstellung der beiden Zugriffsschutzmethoden veröffentlicht: Login: Der Porter hält Sie am Zugang an. Vor der zu schreibenden Website befindet sich eine Website mit einem Formblatt und der Möglichkeit, ein Passwort einzugeben.

Java Script prüft die Eingaben und lehnt den Benutzer entweder ab oder lenkt ihn auf die Geheimseite um. Weil Java Script jedoch komplett im Webbrowser des Benutzers ausgefÃ?hrt wird, kann der Benutzer sowohl das Kennwort im Source-Code oder mit Tools wie dem Page Inspector vorlesen, als auch die Passwortschutzfunktion ausspionieren und ohne Kennworteingabe auf die Geheimseite kommen (indem er die URL aus dem Source-Code nimmt und von Hand in seinem Browsereinstellgerät eingibt).

Hinweis: Jeder JavaScript-basierte Zugriffsschutz kann auf einfachste Weise unterlaufen werden. Vor der zu schreibenden Website befindet sich eine Website mit einem Formblatt und der Möglichkeit, ein Passwort einzugeben. Eine Skript auf dem Webserver prüft die Eingaben und lehnt den Benutzer entweder ab oder lenkt ihn auf die Geheimseite um.

Es gibt mehrere Wege, den Kennwortschutz zu unsicheren, anfällig für Attacken oder gar durch eine fehlerhafte Umsetzung für den Anwender zu gefährden: Ihr Anmeldestatus wird vom Datenserver nicht nur in Abhängigkeit von Ihrer Sitzung, sondern weltweit gespeichert - die Geheimseite ist für jeden zugänglich, solange Sie angemeldet sind. In Ihrer Sitzung werden Ihre Zugangsdaten nicht vom Webserver gespeichert, sondern vielmehr mehrdeutige Funktionen, wie z.B. Ihre IP oder der User-Agent Ihres Browsers.

Dies ermöglicht es jedem, der sich mit Ihnen im gleichen lokalen Netz befindet, die Geheimseite zu besuchen, besonders bei IPv4-Verbindungen. Weil HTTP zustandslos ist, kann eine andere Website, wenn keine Gegensteuerungsmaßnahmen ergriffen wurden, Ihre Session mittelbar nutzen, indem sie Ihren Webbrowser veranlasst, auf die angemeldete Website mit einigen Parametern zuzugreifen, wie z.B. das Ändern Ihres Passworts.

Hinweis: Versuche niemals, deinen eigenen Server-seitigen Zugriffsschutz selbst zu realisieren, wenn du nicht genau weißt, was du tust und worauf du achten musst. Achten Sie darauf, dass der Zugriffsschutz, der heute als gesichert angesehen wird, morgen aufgrund der technologischen Entwicklungen unzuverlässig sein kann und einer ständigen Wartung unterliegt.

Empfehlenswert: Benutzen Sie statt dessen einen Zugriffsschutz, der in einem vertrauten Rahmen zur Verfügung steht, z.B. wo Sie von der Expertise eines Fachmanns und den Sicherheitsaktualisierungen eines Mitarbeiters in Anspruch nehmen können. Siehe Die zu schreibende Website wird ohne Verknüpfungen ins Internet gesetzt und den Eingabemasken über Meta-Elemente oder Roboter zur Verfügung gestellte. txt, die entsprechende Website nicht in den Suchindex zu einbeziehen.

Diese " Zugangssicherung " hat alle Nachteile des Konzeptes der Security-by-obscurity; außerdem können Sie nur von den Eingabemasken verlangen, dass sie eine Website nicht indexieren - eine gesicherte Prävention ist nicht möglich, da die Eingabemasken selbst darüber befinden, ob sie dieser Anfrage entsprechen oder nicht. Darüber hinaus kann nicht gänzlich auszuschließen sein, dass diese Informationen zu bösartigen Webcrawlern werden, die speziell nach unerwünschten Inhalten durchsuchen und der Geheimseite besondere Beachtung schenken.