Stefan: Passwortschutz für einzelne Seiten

Hallo,
Ich möchte gerne einzelne Seiten meiner .freepage.de mit einem Passwort schützen, sodaß nur ein kleiner, kontrollierbarer Kreis Zutritt hat.
Meine Frage: Ist so etwas möglich?
Anmerkung: ich bin Laie
danke für`s Bemühen

Stefan

  1. Hallo Stefan,

    Ich möchte gerne einzelne Seiten meiner .freepage.de mit einem Passwort schützen, sodaß nur ein kleiner, kontrollierbarer Kreis Zutritt hat.

    Der wirksamste Passwortschutz ist ein solcher, der direkt auf dem Server installiert ist und keinen HTTP-Besucher in ein Verzeichnis laesst, der nicht in einer separaten Passwortdatei als autoriserter User registriert ist. Einen Mechanismus dazu ist im NCSA-Servermodell festgelegt, viele Web-Server unterstuetzen das. Browser besitzen ein eigenes Dialogfenster, das beim Aufruf irgendeiner Datei in einem solchen Verzeichnis aufgeht und um Benutzerkennwort und Passwort fragt. Bekannt ist dieser Mechanismus als htaccess-Verzeichnisschutz. Frag Deinen Provider mal, ob er das unterstuetzt. Mehr zu dem Thema hier auf http://www.teamone.de/selfaktuell/schroepl01.htm.
    Bei besseren Providern ist es uebrigens so, dass man in einem Service-Bereich (der uebrigens selber auf diese Weise passwortgeschuetzt ist) bequem via HTML-Formularen die geschuetzten Verzeichnisse und autorisierten User verwalten kann. Also: auch damit bitte den Provider nerven!

    Ein zweiter Weg ist es, alle User erst mal mit einem Formular zu begluecken, in dem er sein Passwort angeben muss. Die Daten werden zu einem CGI-Script gelenkt, das Passwoerter verwaltet und ueberpruefen kann, ob das Passwort erlaubt ist. Das ist zwar auch noch vergleichsweise sicher, aber nicht ganz so wirksam wie die Sache mit htaccess, weil jemand, der erst mal die "geheimen" Dateinamen kennt, diese jederzeit direkt aufrufen kann, ohne von dem CGI-Script behelligt zu werden.
    Fuer diese Loesung braucht man zumindest ein CGI-Verzeichnis. Es gibt Freeware-Scripts im Netz, meist in Perl, die so einen Passwortschutz realisieren.

    Der dritte Weg ist der schlechteste: Passwortschutz mit JavaScript. Eine beliebte Methode dabei ist es dabei, einfach den Namen der "geheimen" Datei als Passwort zu verlangen und nach Eingabe des Passworts mit location.href zu der eingegebenen Datei zu springen. auch hier gilt: wer die Datei erst mal kennt, kommt auch so hin, und wer JavaScript ausgeschaltet hat, merkt allerdings nicht mal, dass es da irgendwas Geheimes gibt <g>.

    Ich habe zu dieser Frage mal etwas mehr geschrieben, weil dieses Thema bei mir in der Hitparade der meistgestellten Fragen die unangefochtene Nummer eins ist (wie kommt das nur ???).

    Viele Gruesse
      Stefan Muenz

    Viele Gruesse
      Stefan Muenz

    1. Wegen der CGI Version.
      Wenn es nur eine Seite ist..
      baut man sie ganz einfach ein.
      Es koennte so aussehen mit dem Passwort test:

      -- snip here --

      !#/usr/bin/perl

      if ($ENV{'QUERY_STRING'} eq "test")
      {
      print "Content-Type: text/html\n\n";
      print <<HTML;
      Hier kommt dann die HTML Seite einfahc rein...

      HTML
      }
      else
      {
      print "Content-Type: text/html\n\n";
      print "Falsches Passwort";

      }

      Plz visit <www.gbook.de>

      bye
      Martin

      Hallo Stefan,

      Ich möchte gerne einzelne Seiten meiner .freepage.de mit einem Passwort schützen, sodaß nur ein kleiner, kontrollierbarer Kreis Zutritt hat.

      Der wirksamste Passwortschutz ist ein solcher, der direkt auf dem Server installiert ist und keinen HTTP-Besucher in ein Verzeichnis laesst, der nicht in einer separaten Passwortdatei als autoriserter User registriert ist. Einen Mechanismus dazu ist im NCSA-Servermodell festgelegt, viele Web-Server unterstuetzen das. Browser besitzen ein eigenes Dialogfenster, das beim Aufruf irgendeiner Datei in einem solchen Verzeichnis aufgeht und um Benutzerkennwort und Passwort fragt. Bekannt ist dieser Mechanismus als htaccess-Verzeichnisschutz. Frag Deinen Provider mal, ob er das unterstuetzt. Mehr zu dem Thema hier auf http://www.teamone.de/selfaktuell/schroepl01.htm.
      Bei besseren Providern ist es uebrigens so, dass man in einem Service-Bereich (der uebrigens selber auf diese Weise passwortgeschuetzt ist) bequem via HTML-Formularen die geschuetzten Verzeichnisse und autorisierten User verwalten kann. Also: auch damit bitte den Provider nerven!

      Ein zweiter Weg ist es, alle User erst mal mit einem Formular zu begluecken, in dem er sein Passwort angeben muss. Die Daten werden zu einem CGI-Script gelenkt, das Passwoerter verwaltet und ueberpruefen kann, ob das Passwort erlaubt ist. Das ist zwar auch noch vergleichsweise sicher, aber nicht ganz so wirksam wie die Sache mit htaccess, weil jemand, der erst mal die "geheimen" Dateinamen kennt, diese jederzeit direkt aufrufen kann, ohne von dem CGI-Script behelligt zu werden.
      Fuer diese Loesung braucht man zumindest ein CGI-Verzeichnis. Es gibt Freeware-Scripts im Netz, meist in Perl, die so einen Passwortschutz realisieren.

      Der dritte Weg ist der schlechteste: Passwortschutz mit JavaScript. Eine beliebte Methode dabei ist es dabei, einfach den Namen der "geheimen" Datei als Passwort zu verlangen und nach Eingabe des Passworts mit location.href zu der eingegebenen Datei zu springen. auch hier gilt: wer die Datei erst mal kennt, kommt auch so hin, und wer JavaScript ausgeschaltet hat, merkt allerdings nicht mal, dass es da irgendwas Geheimes gibt <g>.

      Ich habe zu dieser Frage mal etwas mehr geschrieben, weil dieses Thema bei mir in der Hitparade der meistgestellten Fragen die unangefochtene Nummer eins ist (wie kommt das nur ???).

      Viele Gruesse
        Stefan Muenz

      Viele Gruesse
        Stefan Muenz

    2. Ich möchte gerne einzelne Seiten meiner .freepage.de mit einem Passwort schützen, sodaß nur ein kleiner, kontrollierbarer Kreis Zutritt hat.
      [...]
      Der dritte Weg ist der schlechteste: Passwortschutz mit JavaScript. Eine beliebte Methode dabei ist es dabei, einfach den Namen der "geheimen" Datei als Passwort zu verlangen und nach Eingabe des Passworts mit location.href zu der eingegebenen Datei zu springen. auch hier gilt: wer die Datei erst mal kennt, kommt auch so hin, und wer JavaScript ausgeschaltet hat, merkt allerdings nicht mal, dass es da irgendwas Geheimes gibt <g>.

      Es gibt ein JavaScript von NordSoft, in welchem auf einem Passwort ein Dateiname geschluesselt wird. Dabei kann der Dateiname dann gtrkl3UhegtT.htm heissen (oder so). Man baut eine HTML-Seite auf, in der ein Formular ist, in das man das Passwort eingibt (ist also auch fuer nicht JavaScript-Menschen erst einmal sichtbar). Aus diesem Passwort errechnet das Modul dann den geheimen Dateinamen (wer den kennt, hat natuerlich Glueck gehabt) und forwarded dahin. Wer an dem Script interessiert ist, ich bin gerne bereit, es auf Anforderung zuzuschicken.

      1. Hallo Markus,

        »»  Es gibt ein JavaScript von NordSoft, in welchem auf einem Passwort ein Dateiname geschluesselt wird. Dabei kann der Dateiname dann gtrkl3UhegtT.htm heissen (oder so). Man baut eine HTML-Seite auf, in der ein Formular ist, in das man das Passwort eingibt (ist also auch fuer nicht JavaScript-Menschen erst einmal sichtbar). Aus diesem Passwort errechnet das Modul dann den geheimen Dateinamen (wer den kennt, hat natuerlich Glueck gehabt) und forwarded dahin.

        Es ist zumindest ein kleiner Schutz, das JavaScript in einer separaten JS-Datei zu halten - aber wer unbedingt an den Code ran will, schaltet JavaScript aus und ruft die JS-Datei dann direkt auf. Weiss jetzt nicht, wie Server und Browser dann reagieren, aber entweder zeigt er die Datei an oder er kann sie downloaden. Und in der Datei findet er dann das Verschluesselungsverfahren. Das sind bei diesen schoenen, so zufaelllig klingenden Passwoertern meistens Bitschiebereien. In JavaScript gibt es ja Bit-Operatoren. Damit kann man z.B. alle Zeichen eines Wortes um 2 Bit nach links oder rechts verschieden. Dabei kommen dann solche Sachen wie "gtrkl3UhegtT" heraus. Zum Dekodieren schiebt man die Bits einfach wieder in die andere Richtung und fertig. Zugegeben, dazu muss man schon einiges verstehen von der Materie - aber knackbar ist es allemal, und an serverseitigen Schutz kommt JavaScript nun mal nicht ran, schon allein durch die Tatsache nicht, dass man es ausschalten kann bzw. einige Browser es gar nicht kennen.

        Dennoch ist das von Dir erwaehnte Script vielleicht ganz gut, um mal das in JavaScript Machbare zu studieren. Wenn's nicht zu lang ist, kannst Du es ja auch mal posten.

        Viele Gruesse
          Stefan Muenz