Servus!

Liebe Mitlesende,

ich hatte gerade Lust den Artikel zu den Grundlagen der Zugriffsbeschränkung zu überarbeiten.

Vielen Dank, wieder ein ToDo weniger!

Herzliche Grüße

Matthias Scharwies

Hallo,

ich hatte gerade Lust den Artikel zu den Grundlagen der Zugriffsbeschränkung zu überarbeiten. Dabei habe ich die bisherigen Inhalte durch diese Struktur neu gegliedert:

• Deeplinks
• HTTP-Auth
• Session-basiert
• Unsinn

Fallen irgendwem noch weitere Beispiele konzeptioneller Art ein, die man in den Artikel aufnehmen sollte?

als potentiell unwirksam hätte ich noch:

• Referrer-Check
• Captcha

So long,
 Martin

Moin Moin,

• Deeplinks

Ich halte diese Aussage für falsch.

Die Idee hinter diesem Begriff ist die, dass die Internetadresse zu gewissen Inhalten von nirgendwo her verlinkt ist und auch nicht über Suchmaschinen gefunden werden kann, also eine Art Geheimnis darstellt.

Die Deeplinks werden auch ganz gezielt eingesetzt um den Besucher direckt auf den gewünschten Seiteninhalt zu schicken, ohne lästiges durchhangeln. Auch zeigen manche Suchmaschinen durchaus Deeplinks zu den Seiteninhalten an. Mit verstecken und Geheimnis hat dies überhaupt nichts zu tun.

Eine Kategorisierung von Links liegt auch an der juristischen Diskussion rund um die Fragen zur Haftung von Hyperlinks. Hotlinks sind auch eine Form der Deeplinks.

Fallen irgendwem noch weitere Beispiele konzeptioneller Art ein, die man in den Artikel aufnehmen sollte?

Einfallen ja, ob aufnehmen?

Man kann Secure-Links auch zum eingeschränktem Seitenbesuch missbrauchen. Ein URL-Shortnermechanismus auf der eigenen Seite kann auch zum Beschränken genutzt werden.

Hallo Felix,

außer den Schlangenöl-Methoden nennst du zwei grundsätzliche Ansätze: Zugriffschutz per Zugriffsrecht auf Files und Directories (die Apache mit .htaccess abbildet), und ein Formularlogin mit Session und Webapplication im Hintergrund. Ist die Welt damit tatsächlich abgedeckt? Weitere Schlangenöl-Methoden sollte man nicht bringen, und dann fällt mir für das Szenario "Webseite im Internet" auch nichts weiter ein. Insofern ist dein Artikel gut, wenn man diesen Scope im Auge hat. Es gibt aber noch mehr auf der Welt.

In Intranets sind durchaus Alternativen möglich, weil es dort Mechanismen wie NTLM, Kerberos oder Radius gibt (was ich leider nur als Stichwort auf den Boden der Tatsachen kübeln kann, ich bin kein Admin und kenne keine Details. Wie das in Unix/Linux läuft, weiß ich auch nicht). Aus meiner täglichen Arbeit weiß ich aber, dass ich eine Webseite, die auf einem IIS gehostet ist, mit NTLM authentifizieren kann - das ist ein Windows-only Mechanismus, der in einem Intranet dafür sorgt, dass Server und Brauser den Login unter der Haube aushandeln. Meine IIS Application kennt dann die User-ID des Nutzers. Und ich kann auf dem Server über Dateirechte steuern, wer auf das Web zugreifen kann. Kerberos ist eine Obermenge davon und nicht auf Windows beschränkt, und Radius ist ein Standardverfahren für Systeme, in die man sich von außen einwählt. Gehört sowas nicht irgendwie zumindest erwähnt? Ich würde ja einen Textvorschlag machen, wenn ich mehr wüsste als die Stichworte.

Sodann hätte ich ein paar Korinthen zu kacken ;-)

• Deep Link - ich schließe mich da "Kay nicht angemeldet" an. Zumindest bist Du im Konflikt mit der Wikipedia: Deep Link ist das Gegenteil von Surface Link (also http://forum.selfhtml.org vs https://forum.selfhtml.org/meta/2016/may/15/welche-weiteren-auch-unsinnigen-methoden-von-zugriffsbeschraenkungen-kennt-ihr) und stellt eine Seite dar, zu der man von der Startseite aus erstmal hinnavigieren muss.

  Da Du den Begriff eingebracht hast, läge es nun an Dir, eine Quelle zu benennen, die den Begriff so definiert, wie Du ihn nutzt.

  Meine Versuche, konstruktiv beizutragen, sind leider nicht gelungen. Was Du meinst, würde ich analog zum Dark Internet eine Dark Page nennen wollen. Allerdings habe ich keine reputable Quelle, dass der Begriff für diesen Einsatzzweck wirklich korrekt ist und das ist schwierig zu googeln wegen Star Trek Next Generation, Staffel 7, Folge 7, "Dark Page" :). Abgesehen davon ist eine "Dark Site" eine Website, die offline ist und nur bedarfsweise online geht. Also vielleicht doch kein guter Begriff.

  "Isolated Page" klänge auch gut, ist aber anders belegt (->Chromium Isolated Site).

• Authentification ist französisch, die Engländer sprechen von Authentication. Auf deutsch dann wieder Authentifizierung.

• Mit deiner Kommasetzung gehe ich auch nicht konform, aber ich fühle mich zu alt, um die neue Rechtschreibung noch richtig zu lernen, insofern mag meine Kommaflut falsch sein und dein Text richtig.

Gruß Rolf