nikita: .htacces-login nicht weitergeben (über JS?)

hallo forum,

wg. des problems auf teamone.de stelle ich meine frage heute
nochmal, auch gut, kann ich sie doch gleich nochmal genauer
stellen.
also, ich habe ein nromales browserfenster xyz aus dem per java-
script ein neues (genau definiertes) fenster abc geöffnet wird.
innerhalb von abc werden dann auch dokumente aufgerufen, die per
.htaccess geschützt sind, am ende soll abc per js (self.close)
wieder geschlossen werden.
dummerweise werden aber an alle vor dem login bereits geöffneten
fenster die login-informationen (von dem .htaccess-login in abc)
übergeben, d.h. u.a. sind aus xyz ohne problem die geschützten
dokumente aufrufbar _ohne_ einen erneuten login.

wie kann ich diese "rückübermittlung" an die anderen browserfenster
verhindern, ich dachte (bzw. hatte gehofft) die login-informationen
werden nur im aktiven browserfenster gespeichert??

danke, nikita

anmerkung: ich habe wirklich gründlichst gesucht, aber besagten url
_web.teamone.de_ konnte ich gestern nachmittag bis heute nacht nicht
(url-zeile, im quelltext usw.) entdecken !?   *grübel*

  1. wie kann ich diese "rückübermittlung" an die anderen browserfenster
    verhindern, ich dachte (bzw. hatte gehofft) die login-informationen
    werden nur im aktiven browserfenster gespeichert??

    IMHO ist das keine Rückübermittlung an andere Browser, sondern eine serverseitige Geschichte: Sobald man beim Server eingeloggt ist, fragt er kein zweites Mal nach, egal von welchem Browserfenster aus du weitermachst. Vielleicht versteh ich ja etwas nicht ganz, aber ich glaub, so ähnlich ist es.

    1. hallo siggi,

      wie kann ich diese "rückübermittlung" an die anderen browserfenster
      verhindern, ich dachte (bzw. hatte gehofft) die login-informationen
      werden nur im aktiven browserfenster gespeichert??

      IMHO ist das keine Rückübermittlung an andere Browser, sondern eine serverseitige Geschichte: Sobald man beim Server eingeloggt ist, fragt er kein zweites Mal nach, egal von welchem Browserfenster aus du weitermachst. Vielleicht versteh ich ja etwas nicht ganz, aber ich glaub, so ähnlich ist es.

      klingt logisch, aber so einfach ist es anscheinend doch nicht <g>

      ich habe jetzt alle möglichen testserien absolviert und bin dabei zu folgenden
      resultat gekommen:
      beim login in ein .htaccess-verzeichnis werden diese informationen an alle vor-
      handenen browserfenster zurückgegeben, bis zu einem "normalen" browserfenster,
      d.h. wenn ich per js ein neues fenster öffne, dann bekommt lediglich das sog.
      opener.window diese informationen übermittelt, _alle_ anderen bereits geöffneten
      browserfenster sind nicht automatisch "eingeloggt".
      weiterhin bekommen sämtliche fenster die aus einem der eingeloggten fenster neu
      geöffnet werden ([STRG]+[N] , "Frame in neuen Fenster öffnen" , "Verknüpfung in
      einem neuen Fenster öffnen") u.ä. diese login-informationen mitübermittelt,
      d.h. wenn ich aus dem opener.window oder aus dem js-definierten window irgendwie
      eine neue browserinstanz erzeuge, ist diese automatisch mit eingeloggt.

      meine idee:
      -ich öffne ein neues browserfenster "abfrage", wo auf die notwendigkeit hinge-
      wiesen wird, das opener.window zu schließen (mit einem button um eben diese sache
      erledigen)
      -ein weiterer button ermöglicht den aufruf der geschützten seiten (über js), wobei
      vorher eine javascriptfunktion abfragt, ob das opener.window noch existiert, wenn
      ja, dann ist der aufruf der geschützten seiten nicht möglich, ein erneuter hinweis
      zum schliessen des opener.window erscheint usw.

      könnte doch funktionieren?

      nikita

      anmerkung: es geht hierbei nicht um "profi-user", d.h. das schliessen des browser-
      fensters ist sicherlich akzeptabel, ausserdem ist ja dennoch die "weitergabe" des
      möglich, aber der "durchschnittsuser" sollte ganz gut vor (unbeabsichtigter) weiter-
      verwendung seiner login-daten geschützt sein.

      anmerkung2: ich habe es derzeit nur auf dem ie5 getestet, ich hoffe, dass sich nc 4.x+
      nicht wesentlich anders verhält ;)

      1. IMHO ist das keine Rückübermittlung an andere Browser, sondern eine serverseitige Geschichte: Sobald man beim Server eingeloggt ist, fragt er kein zweites Mal nach, egal von welchem Browserfenster aus du weitermachst.

        Das würde meinem (rudimentären) Verständnis von TCP/IP und http widersprechen.
        http ist bewußt ein zustandsloses Protokoll. Es gibt also kein "einloggen" auf dem Server.
        Probiere es mal aus: Authentifiziere Dich via .htaccess, klappe dann Deinen Internet-Zugang zu und wähle Dich neu ein (bei den meisten Providern wirst Du dann eine neue IP-Adresse bekommen). Trotzdem wirst Du weiterhin authentifiziert sein - deshalb nehme ich an, daß es der Browser ist, der sich das merkt.

        -ich öffne ein neues browserfenster "abfrage", wo auf die notwendigkeit hinge-
        wiesen wird, das opener.window zu schließen (mit einem button um eben diese sache
        erledigen)
        -ein weiterer button ermöglicht den aufruf der geschützten seiten (über js), wobei
        vorher eine javascriptfunktion abfragt, ob das opener.window noch existiert, wenn
        ja, dann ist der aufruf der geschützten seiten nicht möglich, ein erneuter hinweis
        zum schliessen des opener.window erscheint usw.

        In Deinem speziellen Fall würde ich ausnahmsweise mal dazu raten, *nicht* .htaccess zu nehmen, sondern eine eigenen Authentifizierung mit Hilfe eines CGI-Skripts durchzuführen. Wenn Du dann das spezielle Fenster schließt, dann ist das Wissen um diese Authentifizierung wieder weg.
        Deine CGI-Anwendung kannst Du beeinflussen - das Verhalten handelsüblicher Browser nicht.

        anmerkung2: ich habe es derzeit nur auf dem ie5 getestet, ich hoffe, dass sich nc 4.x+
        nicht wesentlich anders verhält ;)

        Sollte es nicht. Ich verwende Netscape 4.x und .htaccess und kann Deine Aussagen tendentiell bestätigen.

        1. hallo michael,

          Probiere es mal aus: Authentifiziere Dich via .htaccess, klappe dann Deinen Internet-Zugang zu und wähle Dich neu ein (bei den meisten Providern wirst Du dann eine neue IP-Adresse bekommen). Trotzdem wirst Du weiterhin authentifiziert sein - deshalb nehme ich an, daß es der Browser ist, der sich das merkt.

          ja stimmt, wobei mir zumindest im ie aber offensichtlich der umstand zugute kommt, dass wenn "Browserfenster in einem eigenen Prozess öffnen" die browserinterne Speicherung wirklich abhängig von der Browserinstanz ist, d.h. wenn ich nach dem .htaccess-login eine neue (leere) browserinstanz starte hat diese nicht die logininformationen "mitbekommen".
          bei netscape werden aber, wie es aussieht, die gesamten logindaten auf alle browser verteilt (<g>), so dass automtisch sämtliche netscapebrowserinstanzen eingeloggt sind.
          die andere sache mit dem _nicht_ beim server einloggen ist mir (jetzt) klar, ich hatte eben nur gehofft, jedes browserfenster würde diese informationen für sich behalten ;)

          Deine CGI-Anwendung kannst Du beeinflussen - das Verhalten handelsüblicher Browser nicht.

          stimmt auch, aber so "heikel" sind die daten imho dann doch nicht, über .htaccess eine saubere lösung wäre schön gewesen, aber wenn es nur 99% sicher ist, was soll man machen ... <g>
          das von mir benannte problem stellt sich in der form ja auch nur in mehrbenutzerumgebungen, immer lustig verschiedene benutzer nacheinander mit (einem) browser rumsurfen, dann noch etwas böser wille und er muss meine urlaubsphotos oderwasauchimmer anschauen <g>

          Sollte es nicht. Ich verwende Netscape 4.x und .htaccess und kann Deine Aussagen tendentiell bestätigen.

          ups, hast du ja aufgerüstet, na dann viel spass ;)

          danke, nikita

          1. Sollte es nicht. Ich verwende Netscape 4.x und .htaccess und kann Deine Aussagen tendentiell bestätigen.
            ups, hast du ja aufgerüstet, na dann viel spass ;)

            Nein, nein: Am Arbeitsplatz-PC, wo ich surfe, habe ich immer noch nur Netscape 3.

            Aber zum Testen meines Produkts habe ich auf dem Projekt-PC alles an Browsern installiert, was draufgeht (viele Netscapes und wenige MSIEs und ein Opera - nach der Anregung im Forum inzwischen auch Netscape 4.7).