Zugriffsteuerung auf Verzeichnis meines Webspaces ohne Passwort
in5y372
- webserver
-4 Klawischnigg0 in5y372-1 Klawischnigg
2 Sven Rautenberg
Moin,
ich möchte ein Verzeichnis so sperren, dass nur ein bestimmter Kreis an Computern über das Internet darauf zugriff hat. Die Computer haben keine feste IP-Adresse. Erste Idee ist natürlich die Steuerung über Benutzer/Passwort mittel .htaccess. Da Benutzer und Passwort aber leicht weitergegeben werden können suche ich nach einer Lösung, die an die jeweiligen Rechner gebunden ist.
Hat von euch jemand eine Idee, wie ich das realisieren kann?
Hi there,
Hat von euch jemand eine Idee, wie ich das realisieren kann?
Am ehesten mit Cookies, wenn keine anderen Gründe dagegen sprechen...
Hi there,
Hat von euch jemand eine Idee, wie ich das realisieren kann?
Am ehesten mit Cookies, wenn keine anderen Gründe dagegen sprechen...
Habe noch nie mit Cookies gearbeitet. Wie gehe ich da am besten vor?
Hi there,
Habe noch nie mit Cookies gearbeitet. Wie gehe ich da am besten vor?
Schau nach im PHP-Handbuch unter "setcookie", da ist das recht gut beschrieben...
Moin!
Habe noch nie mit Cookies gearbeitet. Wie gehe ich da am besten vor?
Schau nach im PHP-Handbuch unter "setcookie", da ist das recht gut beschrieben...
Wie wird die Seite vor unberechtigtem Zugriff geschützt, die das Cookie setzt? Mit Username und Passwort? Ist nicht gewünscht.
Deine Lösung dreht sich im Kreis.
- Sven Rautenberg
Hi there,
Wie wird die Seite vor unberechtigtem Zugriff geschützt, die das Cookie setzt? Mit Username und Passwort? Ist nicht gewünscht.
Deine Lösung dreht sich im Kreis.
Ich habe geschrieben, wenn keine anderen Gründe dagegen sprechen...
Da direkter Kontakt zu den Usern besteht wäre es möglich, denen kurzfristig zugang zu einer Seite zu gewähren, die den Cookie setzt. Meines erachtens reicht für die Geschichte Benutzer/Passwort aus, aber leider muß hier noch ein Schritt weiter gegangen werden um die Gemüter zu beruhigen ;-). Das Problem bei Cookies sehe ich allerdings auch darin, dass die zu schnell gelöscht werden können und dann der User jedes mal wieder den Zugang zu der Cookiesetzenden Seite anfragen muß.
Wie sieht es denn mit Zertifikaten oder Signaturen aus? Ein weitere Themenfeld das vielleicht passen könnte von dem ich keine Ahnung habe :-).
Hi there,
Wie wird die Seite vor unberechtigtem Zugriff geschützt, die das Cookie setzt? Mit Username und Passwort? Ist nicht gewünscht.
Deine Lösung dreht sich im Kreis.
Ich habe geschrieben, wenn keine anderen Gründe dagegen sprechen...
Hi there,
Wie sieht es denn mit Zertifikaten oder Signaturen aus? Ein weitere Themenfeld das vielleicht passen könnte von dem ich keine Ahnung habe :-).
Keine Ahnung; ich halte davon nicht viel, weil sie eine Scheinsicherheit vortäuschen, wo keine ist. Je größer der Verwaltungsaufwand für irgendwelche Sicherheitsmaßnahmen ist, um sicherer kannst Du Dir sein, daß sein Hauptzweck nur in Beruhigung der Ahnungslosen liegt.
Cookies habe ich Dir aus Gründen der Bequemlichkeit beim Anwender vorgeschlagen; dem von Sven Rautenberg zu Recht monierten Problem der Selbstinstallation kannst Du ja mit einer Erstbesuchroutine oder ähnlichem beikommen, entscheidend aber ist in jedem Fall die Wichtigkeit respektive die Sensibilität der zu schützenden Daten; sensible Daten würde ich jedenfalls keinem durch Cookies implementiertem System anvertrauen; genaugenommen haben wirklich sensible Daten auf einem Webserver ohnehin nichts verloren...
Moin!
ich möchte ein Verzeichnis so sperren, dass nur ein bestimmter Kreis an Computern über das Internet darauf zugriff hat. Die Computer haben keine feste IP-Adresse. Erste Idee ist natürlich die Steuerung über Benutzer/Passwort mittel .htaccess. Da Benutzer und Passwort aber leicht weitergegeben werden können suche ich nach einer Lösung, die an die jeweiligen Rechner gebunden ist.
Der Apache Webserver bietet nur folgende Möglichkeiten zur Einschränkung des Zugriffs auf eine Ressource (wahlweise müssen alle gleichzeitig erfüllt sein, oder nur genau eine davon):
Keiner dieser Mechanismen bringt dich wirklich weiter. Die Eingrenzung über Username/Passwort hast du ausgeschlossen, die Eingrenzung über IP oder Domainname wäre nur bei statischen IPs wirklich brauchbar - ansonsten gewährst du deinen berechtigten Usern eventuell keinen Zugriff, wenn deren IP falsch, d.h. dir bislang unbekannt war, und im Gegenzug können alle unberechtigten User mit dieser IP ebenfalls Zugriff kriegen.
Und die Auswertung von HTTP-Headern hat das Problem, dass diese beliebig manipuliert werden können, andererseits aber im Normalfall nicht manipuliert werden. Du also nur sehr wenig Einfluß auf eine unterscheidbare Gestaltung nehmen kannst. Als Beispiel formuliert: Wenn du basierend auf dem User-Agent alle IE 6.0 reinläßt, kannst du dir den Filter auch gleich sparen, weil der IE weit verbreitet ist - und im Zweifel auch versierte Firefox-User sich als IE ausgeben können, um reinzukommen.
Cookies sind auch keine Lösung, denn die kann der Browserbenutzer nicht selbst setzen (und wenn er es könnte, wäre das genauso zu behandeln, wie Username uns Passwort), sondern die werden gesetzt, indem auf dem Server eine passende Seite aufgerufen wird. Wie aber kontrollierst du den Zugriff auf diese Cookie-Seite? Username und Passwort? Willst du nicht. IP, Domainname etc. geht nicht, siehe oben.
Abgesehen davon sind Cookies viel zu anfällig gegen Löschung! Auch als "permanent" gesetzte Cookies werden sehr häufig mit Beenden des Browsers oder durch entsprechende Einstellung von Sicherheitssoftware wieder gelöscht.
Das Argument "Username und Passwort sind schnell weitergegeben" zieht in meinen Augen übrigens nicht. Denn dasselbe gilt auch für die Webseite bzw. die Informationen, die damit geschützt sind.
- Sven Rautenberg
Halli hallo,
ich möchte ein Verzeichnis so sperren, dass nur ein bestimmter Kreis an Computern über das Internet darauf zugriff hat. Die Computer haben keine feste IP-Adresse. Erste Idee ist natürlich die Steuerung über Benutzer/Passwort mittel .htaccess. Da Benutzer und Passwort aber leicht weitergegeben werden können suche ich nach einer Lösung, die an die jeweiligen Rechner gebunden ist.
Der Apache Webserver bietet nur folgende Möglichkeiten zur Einschränkung des Zugriffs auf eine Ressource (wahlweise müssen alle gleichzeitig erfüllt sein, oder nur genau eine davon):
- korrekter Username und Passwort
- korrekte IP bzw. Teil-IP (192.168.0.1, 192.168.2, 192.168.5.10/13,...)
- korrekte DNS-Namen bzw. Teile davon (also z.B. user123.provider.example oder .provider.example)
- Auswertung von Environment-Variablen, die sich auf beliebige HTTP-Header beziehen können.
nur mal eine Idee, falls wirklich nur bestimmte User Zugriff haben sollen, die von Anfang an fest stehen:
Die User könnten doch den User-Agent mit einer bestimmten Zeichenfolge präparieren, die dann abgefragt wird - vorausgesetzt, dass der nicht irgendwie unterwegs manipuliert wird. Wäre das unter den hier gegebenen Umständen eine Möglichkeit?
Viele Grüße
Jörg
Moin!
nur mal eine Idee, falls wirklich nur bestimmte User Zugriff haben sollen, die von Anfang an fest stehen:
Die User könnten doch den User-Agent mit einer bestimmten Zeichenfolge präparieren, die dann abgefragt wird - vorausgesetzt, dass der nicht irgendwie unterwegs manipuliert wird. Wäre das unter den hier gegebenen Umständen eine Möglichkeit?
Wie wahrscheinlich ist es denn, dass der User diese Möglichkeit hat?
Und wie würde sich die Lage dann unterscheiden: Entweder man sagt dem User Benutzernamen und Passwort, oder man sagt dem User "stelle den User-Agent auf 'let-me-in'" - beides ist schnell weitergegeben - letzteres ist aber extrem viel schwieriger umzusetzen für User, die von Technik keine Ahnung haben.
- Sven Rautenberg
Hi,
nun müsste man wissen, um welche User es sich genau handelt und wie genau der OP sie kennt.
Die User könnten doch den User-Agent mit einer bestimmten Zeichenfolge präparieren, die dann abgefragt wird - vorausgesetzt, dass der nicht irgendwie unterwegs manipuliert wird. Wäre das unter den hier gegebenen Umständen eine Möglichkeit?
Wie wahrscheinlich ist es denn, dass der User diese Möglichkeit hat?
Wenn es dem OP so ernst ist, dürfte es doch kein Problem sein, das den Usern beizubringen - ja, wenn die User die Möglichkeit dazu haben. Das weiß man aber leider ncht.
Und wie würde sich die Lage dann unterscheiden: Entweder man sagt dem User Benutzernamen und Passwort, oder man sagt dem User "stelle den User-Agent auf 'let-me-in'" - beides ist schnell weitergegeben -
Hm, ich weiß ja nicht, wie das gemeint ist:
"Da Benutzer und Passwort aber leicht weitergegeben werden können suche ich nach einer Lösung, die an die jeweiligen Rechner gebunden ist."
Wenn es wirklich so sicher sein soll, ist das mit dem User-Agent natürlich ebenso unsicher. Andererseits stellt man den UA einmal ein und vergisst es schnell wieder - zumindest erinnert man sich daran bestimmt nicht so leicht, wie an Nutzernamen und Kennwort.
letzteres ist aber extrem viel schwieriger umzusetzen für User, die von Technik keine Ahnung haben.
Naja, war ja auch nur eine spontane Idee …
Viele Grüße
Jörg