rok: Geschützter Bereich

Hallo,

ich habe einige Seiten meiner Webseite mit Javascript Passwortgeschützt.
Wenn ich jetzt eine Unterseite z.b. meineDomain.de/login/daten/texte aufrufe bekomme ich eine Meldung "Access denied."

Wie kann ich das lösen, damit der Besucher, wenn er nicht angemeldet ist, immer auf die Login-Seite kommt?  meineDomain.de/login/

  1. Om nah hoo pez nyeetz, rok!

    ich habe einige Seiten meiner Webseite mit Javascript Passwortgeschützt.

    Das würde ich gern sehen. Es ist nicht möglich, einen effizienten Passwortschutz mit JavaScript zu erstellen, weil die Scripte auf dem Client zur Verfügung stehen müssen und für Jedermann einsehbar sind.

    Wie kann ich das lösen, damit der Besucher, wenn er nicht angemeldet ist, immer auf die Login-Seite kommt?  meineDomain.de/login/

    http://wiki.selfhtml.org/mediawiki/index.php?title=Technische_Ergänzungen/Loginsystem

    Matthias

    --
    1/z ist kein Blatt Papier.

    1. Om nah hoo pez nyeetz, rok!

      ich habe einige Seiten meiner Webseite mit Javascript Passwortgeschützt.

      Das würde ich gern sehen. Es ist nicht möglich, einen effizienten Passwortschutz mit JavaScript zu erstellen, weil die Scripte auf dem Client zur Verfügung stehen müssen und für Jedermann einsehbar sind.

      Doch, natürlich ist das möglich - unter gewissen Voraussetzungen und mit einigem Aufwand.

      1. Hi,

        Das würde ich gern sehen. Es ist nicht möglich, einen effizienten Passwortschutz mit JavaScript zu erstellen, weil die Scripte auf dem Client zur Verfügung stehen müssen und für Jedermann einsehbar sind.

        Doch, natürlich ist das möglich - unter gewissen Voraussetzungen und mit einigem Aufwand.

        Wie?
        Mir reicht es wenn du es konzeptionell erklären könntest, ich brauche kein funktionierendes Beispiel.
        Server side Javascript zählt nicht.

        ~dave

        1. Server side Javascript zählt nicht.

          Und selbstverständlich auch kleine zwischenzeitige Client-Server-Kommunikation z.B. zum verifizieren auf der Serverseite :)

        2. [latex]Mae  govannen![/latex]

          Das würde ich gern sehen. Es ist nicht möglich, einen effizienten Passwortschutz mit JavaScript zu erstellen, weil die Scripte auf dem Client zur Verfügung stehen müssen und für Jedermann einsehbar sind.

          Doch, natürlich ist das möglich - unter gewissen Voraussetzungen und mit einigem Aufwand.

          Wie?
          Mir reicht es wenn du es konzeptionell erklären könntest, ich brauche kein funktionierendes Beispiel.

          Ich glaube nicht, daß es ohne weiteres möglich ist. Das Einzige, was man meines Erachtens mit JS hinbekommt ist Verschleierung.

          Beispielsweise macht eine Funktion aus Username und Passwort (und ggf. weiteren Komponenten) eine Zeichenkette, der dem Namen der Ressource entspricht und dann selbige aufruft.

          Aus  »Max Mustermann«  und »meinpasswort« wird beispielsweise die Zeichenkette »fuwkwj82h.blkw95zubwnwg9jw__bwuzf« erzeugt und die Ressource auf dem Server heißt »fuwkwj82h.blkw95zubwnwg9jw__bwuzf.html«

          Aber mehr als eine simple Verschleierung ist es nicht, von Sicherheit kann keine Rede sein. Einziger Vorteil ist, daß man die Ressource nicht direkt aus dem Code auslesen kann.

          ♫ FIIIIISCH!! ♪

          Ric... äh Kai

          --
          var jQuery = $(hit);
          „Die Borg würden nicht mal Spaß verstehen, wenn sie einen Vergnügungspark assimiliert hätten!” (B'Elanna Torres)
          SelfHTML-Forum-Stylesheet
        3. Hi,

          Das würde ich gern sehen. Es ist nicht möglich, einen effizienten Passwortschutz mit JavaScript zu erstellen, weil die Scripte auf dem Client zur Verfügung stehen müssen und für Jedermann einsehbar sind.

          Doch, natürlich ist das möglich - unter gewissen Voraussetzungen und mit einigem Aufwand.

          Wie?
          Mir reicht es wenn du es konzeptionell erklären könntest, ich brauche kein funktionierendes Beispiel.
          Server side Javascript zählt nicht.

          Natürlich. Also: zunächst implementierst du ein vernünftiges Verschlüsselungsverfahren (sagen wir AES) und eine Vernünftige Einweghashfuntkion (sagen wir Whirlpool) in Javascript. Du erzeugst nun den verschlüsselten Content, der sich mit dem Passwort A entschlüsseln lässt. Das Passwort A hashst du und speicherst es im Javascript. Wenn nun der User auf den verschlüsselten Content zugreifen möchte, und er das falsche Passwort eingibt, sind die Hashes nicht gleich und er kriegt sofort eine Fehlermeldung. Ansonsten wird der verschlüsselte Content entschlüsselt und der User kriegt das Zeugs zu sehen.

          Natürlich kannst du so keine Kontrolle einbauen, wer mit dem Passwort zugegriffen hat. Und wenn du verschiedene Passwörter für verschiedene Inhalte für verschiedene Benutzer bereitstellen willst, musst du entweder bestimmte Inhalte mehrfach mit unterschiedlichen Passwörtern verschlüsseln oder aber (und ja auch das geht) ein bisschen fancy Mathematik anwenden, sodass manche Content-Teile mit den gleichen Passwörtern entschlüsselt werden können, andere nur mit einem bestimmten.

  2. @@rok:

    nuqneH

    ich habe einige Seiten meiner Webseite mit Javascript Passwortgeschützt.

    YMMD.

    Abgesehen davon meinst du „einige Seiten meiner Webs_i_te“.

    Qapla'

    --
    „Talente finden Lösungen, Genies entdecken Probleme.“ (Hans Krailsheimer)
  3. Hallo,

    Passwortschutz mit Javascript ist so sicher wie das Kondom auf den großen Zeh ziehen.

    vg ichbinich

    --
    Kleiner Tipp:
    Tofu schmeckt am besten, wenn man es kurz vor dem Servieren durch ein saftiges Steak ersetzt...
  4. Hallo,

    ich habe einige Seiten meiner Webseite mit Javascript Passwortgeschützt.
    Wenn ich jetzt eine Unterseite z.b. meineDomain.de/login/daten/texte aufrufe bekomme ich eine Meldung "Access denied."

    Wie kann ich das lösen, damit der Besucher, wenn er nicht angemeldet ist, immer auf die Login-Seite kommt?  meineDomain.de/login/

    Kann ich das mit .htaccess lösen damit ich nicht die Fehlermeldung "Access denied." bekomme und auf die Login-Seite geleitet wird.

    1. Kann ich das mit .htaccess lösen damit ich nicht die Fehlermeldung "Access denied." bekomme und auf die Login-Seite geleitet wird.

      http://www.fastix.org/htpasswd-Generator+-+Eine+Loesung+fuer+kleine+Webs.htm

      In dem Fall kommt die Abfrage des Browsers. D.H. Dieser zeigt einen Login-Dialog an.

      Was jetzt Dein ursprüngliches Problem angeht:

      http://www.javascriptkit.com/howto/htaccess2.shtml liefert Dir den Hinweis. Konfiguriere in der .htaccess also als error-Seite (403) die mit dem HTML-Formular. Diese darf natürlich nicht geschützt sein.

      Jörg Reinholz