HTTPMOD mit geschützten Verzeichnissen, htaccess

[twinFHEM]

Hallo zusammen,

ich habe das Login mit HTTPMOD hier bisher "nur" in Verbindung mit Webseiten und Formularen gesehen.
Ist es auch bei geschützten Verzeichnissen, also bei Anmeldefenster außerhalb einer Webseite (z.B. htaccess) zu verwenden?

Momentan benutze ich Pfade mit Benutzername und Kennwort und ich kann mir irgendwie nicht vorstellen, dass dies die sicherste Methode ist.
Wenn auch die einfachste...

Viele Grüße,
twin

[rudolfkoenig]

Bei htaccess verlangt der Webserver eine "Authorization: Basic XXX" HTTP-Headerzeile, wobei XXX die mit base64 kodierte Benutzername:Passwort Kombination ist.
Fuer den Webserver ist es egal, ob dieser Schutz fuer ein Verzeichnis, oder eine Anwendung (was unter einem bestimmten url-Pfad erreichbar ist) gesetzt ist.

Die meisten Browser (und FHEMs HttpUtils, und damit HTTPMOD) extrahieren aus einem URL der Form http://username:passwort@host/path Username und Passwort, und packen es base64 codiert ins HTTP-Header.

Falls man den Netzwerkverkehr abhoeren kann, dann ist das natuerlich unsicher, dagegen hilft aber TLS (aka HTTPS).
Selbst mit HTTPS gibt es eine Angriffsmoeglichkeit, das laeuft unter dem Stichwort CSRF.

[twinFHEM]

Hallo Rudolf,

vielen Dank für die versierte und beruhigende Antwort.
Wenn diese Form durch HTTPMOD auch codiert wird und Zugangsdaten somit nur direkt in FHEM zu sehen ist, kann ich ruhigen Gewissens
dabei bleiben. HTTPS ist aktiviert.