Hi,

Hallo,

www.irgendwo.de/eineseite.html?name=einname&pwd=einpasswort

nur eine kleine Frage:
Welchen Sinn hat es dann, ein Passwort einzubauen,
wenn es eh schon vorgegeben (im Link eingebaut)

Also auf Anhieb fällt mir da nur ein, dass man sich das
so in seinen Bookmarks im Brauser speichern könnte,
das würde dann schon Sinn machen, oder bei dynamisch
erzeugen Sites, wo man das Password und den Login durch-
schleifen möchte zB.

Gruß
Holger

Hi,

Welchen Sinn hat es dann, ein Passwort einzubauen, wenn es eh schon vorgegeben (im Link eingebaut)
ist und gar nicht zur User-Identifikation gilt.

Schon mal auf die Idee gekommen, daß man mit der Benutzerkennung noch andere Dinge tun kann, als den Zugang zu verbieten?
Man kann ihn beispielsweise *filtern*.

Das Produkt, welches ich in unserer Firma zu warten habe, basiert auf vollständig CGI-generierten Seiten. Insbesondere sind über die webserver-Konfiguration (.htaccess läßt grüßen) zahlreiche Benutzerkennungen definiert.
Jede Benutzerkennung besitzt einen eigenen Verzeichnis- und URL-Baum. In diesem Verzeichnisbaum befindet sich eine Parameterdatei, welche beschreibt, was diese Benutzerkennung darf und was nicht.
Die CGI-Skripte lesen diese Datei und generieren Seiten mit genau den Funktionen, die diesem Benutzer zustehen. Um dies tun zu können, müssen sie Pfadnamen und URLs generieren, welche die via REMOTE_USER erhältliche Benutzerkennung enthalten.
Auch sämtliche durch Links in diesen Seiten aktivierten CGI-Aufrufe lesen wieder diese Datei und wissen, was sie tun dürfen und was nicht.

Bei diesem Produkt macht es also Sinn, in einer HTML-Seite unseres Intranets (oder auch einer Bookmark) einen Link zu setzen, der den Anwender in dieses System hineinläßt (ohne daß er dafür einen Login-Dialog durchlaufen muß, bei dem er zunächst verwirrt nach den erforderlichen Eingaben suchen muß), aber eben nur in die *Demo-Benutzerkennung* mit eingeschränkten Berechtigungen.
Die betriebsinterne Dokumentation dieses Produkts befindet sich in einer Lotus Notes-Datenbank; Notes erlaubt es, URL-Verweise zu setzen. Folglich habe ich in dieser Dokumentation Links auf Seiten innerhalb des Produkts eingefügt, die (mit den in unserer Firma verwendeten Browsern) prima funktionieren. Diese Links kann aber nur verwenden, wer ein Zugriffsrecht auf diese Notes-Datenbank hat ... die Demo-Benutzerkennung ist nicht völlig frei zugänglich.

mfG - Michael

Hi,

Protokoll://Nutzer:Passwort@server.tld/unterverzeichnis

so _kann_ eine URL aussehen; allerdings ist z.B...

http://user:abghzj@www.geschuetzte-website.de/geschlossen

...falsch, während...

ftp://holger:nvhjfjkl634@ftp.viele-files.com/music

...erlaubt ist. In einem HTTP-Request läßt sich Benutzername/Passwort der Basic Authentication _nicht_ in der URL unterbringen.

Nein, Netscape und der IE machen das auch nicht. Sie setzen diese Angabe in die entsprechenden Header um, was ich persönlich - und einige Experten bestätigen mich in dieser Meinung - ziemlich bescheuert finde. Siehe auch andere Postings in diesem Thread.

Cheatah