nicht angemeldet
Link verschlüsseln?
Kann man eigentlich einen Link verschlüsseln?
Ich habe beispielsweise einen Link zu einem mir bereitgestelltem Forum (weil kein PHP & Co. möglich) und möchte dies nur mit Passwort zugänglich machen ...
ist das in die Praxis umsetzbar?
-
Hi,
nein !
Ciao
-
Und wie wende ich eine solche Verschlüsselung an?
Und lege Passwort und Benutzer namen fest?
-
-
Sup!
Naja... Du könntest es mit JS probieren - Du nimmst die URL des Forums, und verschlüsselst sie mit JS (z.B. mit ganz einfachen Verschiebe- oder XOR-Operationen) - die verschlüsselte URL kommt dann in Deine Seite, und es gibt ein Eingabefeld, in das man das Passwort eingeben kann, und wenn es richtig ist, dann wird die URL richtig entschlüsselt und man wird mit document.location.href=passwortvariable; auf die richtige Seite gebracht.
Gruesse,
Bio
--
Ich bin ein Mobber - mein Posting tut mir leid! EHRLICH!!!-
Hi Bio,
das ist jetzt aber nicht wirklich Dein Ernst, oder ?
HPR
-
Sup!
Hi Bio,
das ist jetzt aber nicht wirklich Dein Ernst, oder ?
Sicher ist das mein Ernst. Es ist ein "best effort"-Ansatz, sozusagen.
Gruesse,
Bio
--
Ich bin ein Mobber - mein Posting tut mir leid! EHRLICH!!!
-
-
Sup!
Hallo!
Du solltest erwähnen, daß das Verfahren zwar meine Oma und meine Mutter, aber nicht meine Tochter daran hindert, daß Forum ohne Berechtigung zu "betreten".
Es ist also immer auch eine Frage der Anforderungen. Zäune sind schließlich auch unterschiedlich hoch. Der genannte hat etwa Kniehöhe.
fastix
-
Sup!
Du solltest erwähnen, daß das Verfahren zwar meine Oma und meine Mutter, aber nicht meine Tochter daran hindert, daß Forum ohne Berechtigung zu "betreten".
Wieso? Wenn die ganze URL verschlüsselt ist, weisst Du nicht mal, auf welchem Host das Forum liegt. Natürlich gibt es einige Ansatzpunkte für eine kryptographische Attacke auf die Verschlüsselung (es sei denn, der Schlüssel ist genau so lang wie die URL...) - je nachdem, ob z.B. Ramona dumm genug ist, http://www.xzy.de/forum.html zu schreiben und auch so zu verschlüsseln oder doch so schlau, das http:// nicht mit zu verschlüsseln und das .html wegzulassen und das Forum zur Index-Seite des Verzeichnisses zu machen, so daß die Extension nicht zur Schwächung der Verschlüsselung beiträgt.
Es ist also immer auch eine Frage der Anforderungen. Zäune sind schließlich auch unterschiedlich hoch. Der genannte hat etwa Kniehöhe.
Tja, das glaube ich nicht. Für die meisten wäre es einigermassen zu hoch.
Gruesse,
Bio
--
Ich bin ein Mobber - mein Posting tut mir leid! EHRLICH!!!-
Wieso? Wenn die ganze URL verschlüsselt ist, weisst Du nicht mal, auf welchem Host das Forum liegt. Natürlich gibt es einige Ansatzpunkte für eine kryptographische Attacke auf die Verschlüsselung (es sei denn, der Schlüssel ist genau so lang wie die URL...) - je nachdem, ob z.B. Ramona dumm genug ist, http://www.xzy.de/forum.html zu schreiben und auch so zu verschlüsseln oder doch so schlau, das http:// nicht mit zu verschlüsseln und das .html wegzulassen und das Forum zur Index-Seite des Verzeichnisses zu machen, so daß die Extension nicht zur Schwächung der Verschlüsselung beiträgt.
Das ist das gleiche wie die Alternative mit diesem .htaccess oder etwas anderes?
-
Hicks!
Wieso? Wenn die ganze URL verschlüsselt ist, weisst Du nicht mal, auf welchem Host das Forum liegt. Natürlich gibt es einige Ansatzpunkte für eine kryptographische Attacke auf die Verschlüsselung
Wie wäre es denn mit dem höchst sinnigen Ansatz, daß das Programm zum Entschlüsseln mit der Webseite als Javascript mitgeliefert wird?
Außerdem erscheint die Adresse bei jedem, der darf in der Adreßleiste. Einmal kurz geschaut und fertig. Zweitens liefert vielleicht eine Suchmaschine einen Link. Es genügt, wenn jemand, der berechtigt ist, einen Link zu der Seite in die seine einbaut (um zum Beispiel nicht andauernd das Passwort eintippen zu müssen) und der Robot vorbeischaut. Ob der meta- tag beachtet wird ist Sache des Programmierers des Robots.
Dann ist eine krypotographische Atacke nicht mehr notwendig.
Ein Gartenzaun bleibt ein Gartenzaun. Und dieser bekommt mit der Zeit lose Latten.
fastix
-
-
-
Und wie mache ich das genau?
-
Sup!
Und wie mache ich das genau?
Das bleibt Deiner Phantasie überlassen; wenn Du es überhaupt machen willst, da ja der Zugriffsschutz mit JS so unsicher sein soll (Hauptproblem ist, daß Leute zufällig auf Deine Seite stossen oder sie mit einer Suchmaschine finden könnten (sofern Du nicht das Indexieren mit Meta-Tags und robots.txt verbietest) - daß die Verschlüsselung der URL tatsächlich geknackt wird, ist IMHO eher unwahrscheinlich).
Gruesse,
Bio
--
Ich bin ein Mobber - mein Posting tut mir leid! EHRLICH!!!
-
-
-
Hi Ramona,
jetzt mal im Ernst: Es ist derzeit kein Verfahren bekannt, mit dem per JavaScript _alleine_ eine Sicherheits-Funktion realisiert werden kann. Alleine schon deshalb, weil sich der Besucher alle Deine geistigen Ergüsse ansehen kann (incl. Kodierung / Dekodierung). Wie fastix schon richtig sagt: Du kannst vielleicht Blinde zum stolpern bringen, aber wenn Du einer geschlossenen Benutzergruppe suggerierst, dass sie sich in einem auch halbwegs geschlossenen Raum befinden, sind _alle_ diese Methoden per JavaScript unseriös.
Es gibt billige und sogar kostenlose Anbieter mit PHP-/ ASP-Unterstützung. Vielleicht orientierst Du Dich mal in diese Richtung.
Ciao
Hans-Peter -
Hallo Ramona,
Ich habe beispielsweise einen Link zu einem mir bereitgestelltem Forum (weil kein PHP & Co. möglich) und möchte dies nur mit Passwort zugänglich machen ...
Ich bin mir nicht ganz sicher, was du mit "verschlüsseln" eigentlich meinst (nur weil du eine Passwortabfrage hast, muss der Link noch lange nicht verschlüsselt sein). Ich denke aber, dass es dir eher generell um eine Passwortabfrage geht, bevor eine Seite angezeigt wird. Dies ist selbstverständlich auch ohne PHP oder andere serverseitige Scriptsprachen möglich, du musst nur einen Webserver haben, der entweder apache-kompatibel oder selbst ein Apache ist (das ist aber meistens der Fall). Dann heißt das Zauberwort ".htaccess - Server-Reaktionen kontrollieren" und alles weitere dazu findest du hier: http://selfhtml.teamone.de/diverses/htaccess.htm#verzeichnisschutz
Grüße aus Darmstadt,
Benjamin--
Signatur? Sowas brauche ich nicht, da steht eh' meist nur Nonsens drin.-
Hi Benjamin,
Ramonas Anfrage ging in die Richung "Zugangsschutz zu einem Forum mittels JavaScript". Natürlich brauchst Du nicht unbedingt ein serverseitiges "Scripting", aber Du brauchst sinnvollerweise eine serverseitige "Methode". Und nur weil jeder .htaccess kennt bedeutet das nicht, das es keine anderen Lösungen gibt. Jeder Web-Server (auch der IIS) biedet derlei Schutzmechanismen an (nur leider nicht jeder Provider).
Ich denke mal, es bleibt dabei: JavaScript ist ungeeignet.
Ciao
Hans-Peter-
Und nur weil jeder .htaccess kennt bedeutet das nicht, das es keine anderen Lösungen gibt. Jeder Web-Server (auch der IIS) biedet derlei Schutzmechanismen an (nur leider nicht jeder Provider).
Tja, hier erwischst du jemand der nicht allzuviel mit .htaccess anfangen kann ... Access ist meines Wissens nach Datenbank-Software und htaccess?
Ich möcte ja keine Daten verschlüsseln(Datenbank), sondern ein abgeschirmtes Forum haben ... oder habe ich das jetzt missverstanden?
-
Hallo Ramona,
Access ist meines Wissens nach Datenbank-Software und htaccess?
Lies dir die Seite durch, deren Link ich im Beitrag [pref:t=36315&m=198525] gepostet habe, und du wirst "eines besseren belehrt" - .htaccess hat rein gar nichts mit Microsoft Access, dem Datenbankprogramm zu tun. ;-)
Grüße aus Darmstadt,
Benjamin--
Signatur? Sowas brauche ich nicht, da steht eh' meist nur Nonsens drin.
-
-
Hallo Hans-Peter,
Ramonas Anfrage ging in die Richung "Zugangsschutz zu einem Forum mittels JavaScript".
Die Anfrage, aber ich hatte versucht, sie etwas "anders" zu verstehen, scheinbar ging ich da in die richtige Richtung, wenn ich mir [pref:t=36315&m=198537] so anschaue...
Natürlich brauchst Du nicht unbedingt ein serverseitiges "Scripting", aber Du brauchst sinnvollerweise eine serverseitige "Methode".
.htaccess ist ja eine serverseitige Methode. Und weshalb sollte man sich die Mühe machen, mit z.B. PHP herumzuhantieren (es ist wirklich um einiges komplizierter, eine Basic-Auth hervorzurufen als mit einer .htaccess-Datei), wenn es doch so viel einfacher geht?
Jeder Web-Server (auch der IIS) biedet derlei Schutzmechanismen an (nur leider nicht jeder Provider).
Leider, ja. Aber in dem Fall müsste man einfach mit dem Provider klären, ob a) das prinzipiell möglich ist und b) falls nicht, dass möglicherweise eine Ausnahme gemacht wird.
Ich denke mal, es bleibt dabei: JavaScript ist ungeeignet.
Das bleibt völlig unbestritten: Javascript ist in jedem Falle _absolut _ ungeeignet für einen Passwortschutz.
Grüße aus Darmstadt,
Benjamin--
Signatur? Sowas brauche ich nicht, da steht eh' meist nur Nonsens drin.-
Ich denke mal, es bleibt dabei: JavaScript ist ungeeignet.
Das bleibt völlig unbestritten: Javascript ist in jedem Falle _absolut _ ungeeignet für einen Passwortschutz.
ungeeignet oder unmöglich?
was wäre z.B. geeignet? Wie gesagt PHP fällt leider weg ...
Der Provider (STRATO) bietet keine Verschlüsselung an
-
-
-
Es geht darum, dass der Link versteckt ist, und man mit der Passwortabfrage einen Mitgliedsbereich schafft ...
Sicherlich bin ich mir im Klaren darüber dass man solche Sachen immer irgendwie umgehen kann (ähnlich dem Versuch Bilder zu verschlüsseln usw.) aber és gibt viele die bei einer Passwortabfrage schon aufgeben ...
-
Hallo Ramona,
Es geht darum, dass der Link versteckt ist, und man mit der Passwortabfrage einen Mitgliedsbereich schafft ...
Ja, ich glaube, da bist du mit .htaccess-Dateien wirklich an der richtigen Stelle. Lies dir doch die SELFHTML-Seite durch, ich bin sicher, das ist nicht allzuschwer zu verstehen und umzusetzen (die Beispiele sind ja dort gegeben)
Sicherlich bin ich mir im Klaren darüber dass man solche Sachen immer irgendwie umgehen kann (ähnlich dem Versuch Bilder zu verschlüsseln usw.) aber és gibt viele die bei einer Passwortabfrage schon aufgeben
Möglicherweise, ja. Aber du solltest das nicht unterschätzen. Möglicherweise könnten auch rechtliche Probleme auftreten, sollte ein Mitgliedsbereich nicht genügend gesichert sein. Ich weiß ja nicht, um was es im konkreten Fall geht, aber ich denke, wenn man schon die Möglichkeit hat, sollte man auch die höchstmögliche Stufe an Sicherheit einhalten.
Das mit .htaccess solltest du also auf jeden Fall ausprobieren und gegebenenfalls mit deinem Provider klären.
Grüße aus Darmstadt,
Benjamin--
Signatur? Sowas brauche ich nicht, da steht eh' meist nur Nonsens drin.-
Das mit .htaccess solltest du also auf jeden Fall ausprobieren und gegebenenfalls mit deinem Provider klären.
Werde mich mal daran versuchen ...
wenn ich irgendwo nicht weiter komme melde ich mich wieder hier ...
-
-
-
.htaccess-Datei fuer Web-Verzeichnis /service
AuthType Basic
AuthName "Service-Bereich"
AuthUserFile /usr/verwaltung/web/.htusers
AuthGroupFile /usr/verwaltung/web/.htgroups
<Files *.htm>
require user Werner Dieter Heidi
require group Servicetechniker
</Files>O.K. ich blicke nun so einigermaßen durch, habe aber noch ein paar Fragen:
1. Die Passwörter und Benutzernamen sind in einem eigenem Dokument, wenn ich es richtig verstanden habe, schreibe ich das mit einem ganz normalem texteditor?
2. Wie binde ich diese Dateien dann so ein dass der Server das mit der Passwortabfrage erkennt?
-
-
Hi Ramona,
irgendwie habe ich das Gefühl, dass Du jetzt nicht wesentlich glücklicher bist als vor dem Thread. Es hängt natürlich davon ab, wie "ernsthaft" dieser Zugriffsschutz sein soll (und was Deine Besucher/Auftraggeber/Kunden erwarten). Im Zweifelsfall neigen die meisten Leute hier im Forum zu eher professionellen Lösungen (wie .htaccess oder serverseitigem Scripting). Wenn das bei Deinem Provider nicht geht: Hm ... irgend einen Unterschied zw. Low-Budget-Anbieter (wie Strato und Konsorten) und einem vernünftigen Provider muss es ja geben :-|
Ich möchte nicht, dass Du SELFHTML für einen Quasselverein hältst, bei dem außer ellenlangen Threads nicht verwertbares rauskommt. Deshalb mein Rat in aller Kürze (den vermutlich auch die Anderen unterstützen): Mach´ es nicht mit JavaScript.
Ciao
Hans-Peter-
Mach´ es nicht mit JavaScript.
Habe mir dieses .htaccess eben zu Gemüte geführt:
Schreibe ich diese Angaben wie Benutzernamen und Passwort mit eine ganz normalem editor oder brauch ich da eine spezielle software?
und wie binde ich es so ein dass der Server die Passwortabfrage wirklich erkennt?
-
-
Ich hab soetwas mal zum Spass probiert.
Ein Javascript "rechnet" den Namen der Zieldatei aus. Formel ist natürlich im Quellcode einsehbar, aber was soll's.
Kannst Du ja mal testen http://2cpm.de
Wobei der Schutz nicht sehr ernstzunehmend ist. Die richtigen geheimen Sachen stehen unter .htaccess
cu, CPM