Dominik: Passwortschuz- Design veraendern

Hallo an Alle,

ich habe ein kleine Problem, ich versuche auf meiner Seite einen Passwortschutz zu generieren. Am einfachsten und sichersten scheint mir hier die Moeglichkeit ein CGI-Script anzuwenden und eine .htaccess Datei zu verwenden.
Leider wird hier fuer den Login eigens eine MSG-Box erstellt, in der dann Benutzername und Passwort eingegeben werden sollen - koennen.
Hier meine Frage: Kann man auch die Daten ueber ein HTML-Formular an die Datei .htaccess und .htuser uebergeben oder kann man das Design dieser aufkommenden MSG-Box veraendern?
Wuerde naemlich gerne das design meiner sich im Aufbau befindenen Seite beibehalten.

Vielen Dank, Dominik

  1. Moin Moin!

    Nein, siehe </archiv/>.

    Die Login-Box ist eine Browser-Resource und zudem noch browserspezifisch. Wenn Du etwas anderes willst, brauchst Du Cookies und/oder eine Session. Details findest Du mit diesen Suchbegriffen im Archiv.

    Alexander

    --
    Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
    Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"
  2. hi,

    Hier meine Frage: Kann man auch die Daten ueber ein HTML-Formular an die Datei .htaccess und .htuser uebergeben

    Guck mal hier
    http://perlbase.xwolf.de/cgi-bin/perlbase.cgi?dis.5.10

    Da hab ich beschrieben wie die Apache PasswortDatei zur Authentifizierung von Benutzern herangezogen werden kann ohne dass die Benutzernamen:Passworte im Klartext in einem Script stehen.

    Rolf

  3. Hi Dominik,

    Leider wird hier fuer den Login eigens eine MSG-Box erstellt, in der dann Benutzername und Passwort eingegeben werden sollen - koennen.

    Ersetze "leider" durch "glücklicherweise".
    Denn der sicherheitsbewußte Anwender erkennt daran sofort, daß ein standardisierter Mechanismus des HTTP-Protokolls verwendet wurde - und kein amateurhafter JavaScript-pfusch.

    Hier meine Frage: Kann man auch die Daten ueber ein HTML-Formular an die Datei .htaccess und .htuser uebergeben

    Streiche "auch". Dein Browser übergibt diese Daten (in Form entsprechender HTTP-Header) an den Apache-Server - .ht* sind lediglich Konfigurationsdateien, keine "Programme".

    oder kann man das Design dieser aufkommenden MSG-Box veraendern?

    Nein - dies ist abgängig vom verwendeten Browser, vom installierten Betriebssystem, von entsprechenden Desktop-Einstellungen (Farben, Schriften) etc.

    Wuerde naemlich gerne das design meiner sich im Aufbau befindenen Seite beibehalten.

    Der Authentifizierungsvorgang ist nicht Bestandteil Deiner Seite, genauso wenig wie die Widgets des Browserfensters oder die Buttons & Menüs der Browser-GUIs.

    Viele Grüße
          Michael

    --
    T'Pol: I apologize if I acted inappropriately.
    V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
    (sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
     => http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
    Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
  4. Hallo,

    Wuerde naemlich gerne das design meiner sich im Aufbau befindenen Seite beibehalten.

    Du kannst es mit einem cgi folgender massen probieren siehe dazu auf meine seite das beispiel.
    http://www.tramplefun.com/test/
    das cgi klappert für den browser-client die passwort datei ab im htaccess geschützten bereich ohne dass
    der client davon was mitkriegt,danach generiert er (das cgi),falls die daten korrekt sind eine html datei
    und der user kann sich einloggen,ohne nochmal das passwort user eingeben zu müssen über den browser.
    Ich sehe da den grossen vorteil,dass der geschützte member-url nicht bekannt wird,solange nicht das richtige pass
    eingeben wurde,dies zum vorteil gegen brute force attacken,die ja den member url wissen müssen um den server
    mit 1000enden von 401 error anfragen zu belästigen bis die meldung 200 (pass gefunden)erscheint,was bei meinem beispiel ja dann nicht möglich ist.
    Gruss vom Alain

    --
    ...wenn das gehirn so einfach wäre,es zu vestehen,
    wären wir zu dumm um es zu begreifen...