nicht angemeldet
.htacess für Kunden Login einrichten
Hi,
ich hab mir einen kleinen Kundenlogin gebastellt der zu einem "Geschützten Verzeichniss" weiterleitet...
Problem is nur wenn jemand den direkten Link zum Kundenbereich kennt würde er trotzdem dort hingelangen...
Momentan habe ich das Verzeichniss mit einer index.htm gesichert um zu vermeiden das man meine Verzeichnisstruktur sehen kann..
Ich habe bereits das betroffene Verzeichnis mit .htacess verschlossen Problem ist nur das er mir dann die Passwortabfrage fürs Verzeichnis erneut aufruft...
Meine Frage nun:
Wie kann ich .htaccess so einrichten das es die 2. Abfrage(Popup) unterlässt?
Oder geht das gar nicht?
Und wie ist das mit den Suchmaschienen?
Ist dieses Rentabel
<!-- robots content="noindex" -->
um die Robots daran zu hindern den Kundenbereich mit aufzunehemen?
Ich bin euch dankbar für eure Hilfe....
Gruss
Chris
-
ich hab mir einen kleinen Kundenlogin gebastellt der zu einem "Geschützten Verzeichniss" weiterleitet...
Problem is nur wenn jemand den direkten Link zum Kundenbereich kennt würde er trotzdem dort hingelangen...
Momentan habe ich das Verzeichniss mit einer index.htm gesichert um zu vermeiden das man meine Verzeichnisstruktur sehen kann..Eine Zeile
options -indexes
in der .htaccess des Verzeichnisses hilft da eventuell besser. Siehe http://httpd.apache.org/docs/mod/core.html#options und http://httpd.apache.org/docs/mod/mod_autoindex.html.
Ich habe bereits das betroffene Verzeichnis mit .htacess verschlossen Problem ist nur das er mir dann die Passwortabfrage fürs Verzeichnis erneut aufruft...
Sehe ich das richtig: Du hast eine HTML-Seite geschrieben, in der man per Formular Name und Passwort eingibt, diese HTML-Seite leitet dann per Javascript je nach Name in ein anderes Verzeichnis weiter, welches Du wiederum mit der .htaccess versperrt hast?
Wenn dem so sein sollte, hast Du erstmal ein grundsätzliches Sicherheitsproblem: Deine Passwortabfrage ist möglichweise vollends unbrauchbar.
Davon unabhängig ist es nicht möglich, die Daten aus einem HTML-Formular für die Zugangsberechtigung per .htaccess, also per HTTP-Protokoll, einzusetzen. Das sind zwei Paar Schuhe.Meine Frage nun:
Wie kann ich .htaccess so einrichten das es die 2. Abfrage(Popup) unterlässt?
Garnicht, denn es ist keine zweite Abfrage, sondern lediglich die erste einer anderen Methode. Entscheide Dich für eine Methode (die per .htaccess ist sicherer).
Und wie ist das mit den Suchmaschienen?
Ist dieses Rentabel<!-- robots content="noindex" -->
um die Robots daran zu hindern den Kundenbereich mit aufzunehemen?
Nein, diese Syntax gibt es nicht, ganz zu schweigen davon, daß man davon ausgehen kann, daß Kommentare grundsätzlich ignoriert werden. Die Beschreibung des <meta>-robots-Tags findest Du unter http://selfhtml.teamone.de/html/kopfdaten/meta.htm#robots, die der robots.txt-Datei unter http://robotstxt.org.
Beachte, daß sich niemand an diese Angaben halten muß. Mir ist zumindest ein Archivierer bekannt, der sich penetranterweise an gar keine Regeln hält. Die sicherste Methode, neben der HTTP-Zugangskontrolle per .htaccess, ist es, eine Adresse nirgendo öffentlich auftauchen zu lassen.Gruß,
soenk.e-
Hi soenk.e,
Sehe ich das richtig: Du hast eine HTML-Seite geschrieben, in der man per Formular Name und Passwort eingibt, diese HTML-Seite leitet dann per Javascript je nach Name in ein anderes Verzeichnis weiter, welches Du wiederum mit der .htaccess versperrt hast?
Wenn dem so sein sollte, hast Du erstmal ein grundsätzliches Sicherheitsproblem: Deine Passwortabfrage ist möglichweise vollends unbrauchbar.
Davon unabhängig ist es nicht möglich, die Daten aus einem HTML-Formular für die Zugangsberechtigung per .htaccess, also per HTTP-Protokoll, einzusetzen. Das sind zwei Paar Schuhe.Oh weh, zur Optischen Darstellung ;-)
Ich habe in eine Mysql DB die betreffenden Daten gespeichert die wirklich nur für den Nutzer gedacht sind dem sie auch gehören und um diesen zu ermitteln brauche ich seine ID und eventuell sein PASSWORT also kann ich auf das erste Formular nicht verzichten...
Dann gibt es da noch den Teil der für alle User(Mitglieder) gleich ist sprich eine einheitlcihe Navigation mit Feedback Formular und son Zeugs das sehen alle Mitglieder und dafür habe ich keine Abfrage erstellt, ist halt nur eine HTML Seite mit der Navigation für den Mitgliederbereich...
Angenommen jemand hat nun den Direkten Link zu dem Verzeichniss wo meine Html Vorlage mit der oben angesprochenen Navigation und Feedback blalala hat kommt er dort auch rein hat aber nicht die Möglichkeit irgendwelche Daten zu verändern b.z.w. er sieht die Daten die auf den jeweiligen User(Mysql) bezogen sind nicht da er das PASSWORT und die ID nicht hat...Deinem Posting nach habe ich also nur die Möglichkeit die HTML Seite mit der Navigation ebenfalls generieren zu lassen oder der User muss mit der Zweiten Passwort abfrage Leben...???
Was würdest Du tun?
Danke für deine Antwort
Gruss
Chris-
Moin!
Deinem Posting nach habe ich also nur die Möglichkeit die HTML Seite mit der Navigation ebenfalls generieren zu lassen oder der User muss mit der Zweiten Passwort abfrage Leben...???
Du solltest dein Authentifizierungsschema mal gründlich durchdenken.
Zu klärende Fragen:
1. Wie soll sich der Benutzer anmelden? Per HTML-Formular oder per .htaccess-Formular. Eins von beiden geht nur bzw. macht nur Sinn, nicht beides.2. Wie prüfst du dann die Userdaten? Wie die Daten aus dem HTML-Formular zu dir kommen, dürfte klar sein, und die Daten aus dem .htacces-Formular kriegst du komplett, wenn PHP als Apache-Modul läuft, in den beiden Server-Variablen $_SERVER['PHP_AUTH_USER'] und $_SERVER['PHP_AUTH_PW']. Wenn PHP nicht als Modul läuft, kriegst du die bereits per Passwortdatei von Apache verifizierte und als in Ordnung betrachtete Benutzerkennung in $_SERVER['REMOTE_USER'].
Wenn du dich gegen .htaccess entscheidest, mußt du in irgendeiner Weise mit Sessions arbeiten, um die authentifizierten User wiederzuerkennen. Dieser Aufwand entfällt bei .htaccess-Authentifizierung (da sorgt der Browser schon selbst für das ständige Authentifizieren), allerdings kannst du unmöglich einen Bereich, der auch frei zugänglich sein soll, mit .htaccess schützen. Dazu müßtest du den Bereich schon in irgendeiner Weise kopieren, damit er geschützt unter der einen URL vorliegt, ungeschützt unter einer anderen URL. Auf dem Server läßt sich hierfür einiges regeln und konfigurieren - auch mit .htaccess.
- Sven Rautenberg
--
Diese Signatur gilt nur am Freitag.
-
-