JavaScript : Cookies & Paßwortschutz
Chris
Hallöchen .
Folgendes Problem :
Ich habe ein www-board mittels JavaScript mit einem Paßwortschutz versehen .
Das Script mit der Paßwortabfrage steht im Code der html-Datei des Forums ( um zu verhindern daß jemand über die URL direkt auf das Forum zugreifen kann wie es bei einigen CGI-scripts der Fall ist ) .
Logischerweise wird bei jedem Aufruf der html-datei dann das script ausgeführt , also auch wenn man im Forum einen thread durch hat und zurück zur Übersicht ( die html-datei ) gelangen will , was natürlich ziemlich nervig ist auf Dauer ... ;-)
Also müssen Cookies her . Das Problem das ich dabei sehe ist folgendes : wenn ich die Funktionen für die Cookies geschrieben habe muß ich diese über den Event-Handler onLoad im body-tag aufrufen soweit ich weiß , und dann würden sie ja erst nach dem pw-script wieder ausgeführt , und das ist ja nicht Sinn der Sache ....
Ich bin dankbar für jeden Vorschlag bzw. für jede Verbesserung !!
Chris
Hallo Chris,
ich habe zunaechst ein paar Verstaendnisfragen:
1.) Auf was fuer einem Server laeuft Dein WWW-Board (insbesondere:
hast Du selber Zugriff oder laeuft das WWW-Board auf einem externen Server) - und
2.) benutzt Du serverseitigen oder clientseitigen JavaScript?
Ausserdem:
Wenn Dein JavaScript in der HTML-Datei steht und nach der
Passwortkontrolle das WWW-Board anzeigt, wie wird dann das
Passwort vor Unbefugten versteckt?
Viele Gruesse
Andreas
Habe das Problem gelöst , danke für die Tips .
btw : ich habe nen shell-account auf dem server , nur auf die Idee mit dem .htaccess file bin ich nicht gekommen , kann mich mit UNIX nich so anfreunden .... ;-)
Ich bin dankbar für jeden Vorschlag bzw. für jede Verbesserung !!
Hallo,
wie waere es wenn du einfach das Verzeichnis das das WWWBoard enthaelt mittels "htaccess" schuetzt.
Torsten
Hallo Torsten,
wie waere es wenn du einfach das Verzeichnis das das WWWBoard enthaelt mittels "htaccess" schuetzt.
Diesem Vorschlag kann ich mich nur anschliessen! Es ist die sauberste Loesung. Die genannten Probleme sind damit vermieden, und die Abfrage ist auch nicht mit ausgeschaltetem JavaScript zu umgehen.
Viele Gruesse
Stefan Muenz
Diesem Vorschlag kann ich mich nur anschliessen! Es ist die sauberste Loesung. Die genannten Probleme sind damit vermieden, und die Abfrage ist auch nicht mit ausgeschaltetem JavaScript zu umgehen.
Hallo Stefan!
Falls man auf den Server den entsprechenden Zugriff hat (was aus Chris's Frage
nicht unbedingt hervorgeht), wuerde ich diese Methode auch vorschlagen.
Ein Problem ist jedoch, daß, wenn man erst einmal sein Paßwort eingegeben hat,
man dann auch Skripte direkt über deren URL ansprechen kann. Bei CGI-Skripten, die
Eingaben serverseitig zwischenspeichern und/oder "hidden Fields" verwenden kann
dadurch beliebiges Chaos entstehen. Ich bevorzuge daher z.Zt. die Methode, daß jedes
Skript am Anfang den Benutzernamen kontrolliert und ihn mit einer Checksumme
in einem Cookie vergleicht. Bei Inkonsistenzen wird dann automatisch in eine
Login-Seite gesprungen. Auf diese Weise verhindere ich das unkontrollierte
Ausführen eines Skriptes, welches sich auf zwischengespeicherte Daten
beruft.
Ich weiß allerdings nicht, ob dies sicherheitstechnisch gesehen
schon der Weisheit letzter Schluß ist. Ein weiterer Nachteil ist, daß Links
auf diese Weise nicht erlaubt sind.
Viele Grüße!
Andreas Bierhals