nicht angemeldet
Passwortgeschützter Bereich
Hallo,
beim Aufbau einer Website möchte ich einen Teil als geschützten, nur für Mitglieder erreichbaren Teil realisieren. Hier im Forum habe ich folgende Lösung gefunden:
</head>
<script language="JavaScript">
<!--
function passwort()
{
location.href=document.formularname.pwd.value+".htm"
}
//-->
</script>
<body>
Bitte die Benutzerkennung und das Passwort eingeben:<br>
<form name="formularname" onSubmit="false;">
Kennwort:
<input type="TEXT" name="pwd" size="10" maxlenght="10">
<input type="button" value="Enter" onClick="passwort()">
</form>
</body>
</html>
Wenn ich dann in das Textfeld zB. ABC eingebe, so wird beim Klick auf den Enter-Button nach einer Seite ABC.HTM gesucht.
Jetzt zwei Fragen:
- Ist es möglich, eine selbsterstelle Seite mit schöner Fehlermeldung (und nicht die übliche "...nicht gefunde"-Seite) anzuzeigen, wenn der User ein falsches Passwort eingibt? Wie müßte diese Seite dann heißen?
- Ist diese Methode auch sicher? Oder kann ein pfiffiger Internetnutzer die Übersicht über alle Dateien, die zu einer Website gehören einsehen und damit die Seite ABC.HTM finden?
Vielen Dank im Voraus
Gruß,
Norbert
PS: Mein aktueller Test liegt hier: http://stiftschor-bonn.bei.t-online.de/
-
hallo Norbert,
- Ist es möglich, eine selbsterstelle Seite mit schöner Fehlermeldung (und nicht die übliche "...nicht gefunde"-Seite) anzuzeigen, wenn der User ein falsches Passwort eingibt?
Ja.
Wie müßte diese Seite dann heißen?
Gib ihr einen Namen ganz nach Belieben.
- Ist diese Methode auch sicher?
Nein, überhaupt nicht.
Oder kann ein pfiffiger Internetnutzer die Übersicht über alle Dateien, die zu einer Website gehören einsehen und damit die Seite ABC.HTM finden?
Das sind zwei verschiedene Dinge. Eine "Übersicht" wird nicht so leicht zu finden sein, aber die Seite ABC.HTM hat er in seinem Browsercache und kann sie nach Herzenslust von oben nach unten und von rechts nach links durchlesen und durchsuchen.
Ein Beispiel, wie es mit "Javascript-Paßwörtern" gehen kann, habe ich extra für dich *g* auf http://www.christoph-schnauss.de/prog/jscript/jscript07.htm bereitgestellt. Aber es ist ziemlicher Unsinn, sich auf diese Methode zu verlassen, weil jeder "Fortgeschrittene" das Paßwort natürlich herausfinden kann.
Einen einigermaßen wirksamen Schutz erreichst du nur, wenn du auf dem Server selbst dafür sorgst, daß für bestimmte Bereiche deiner Site eben Paßwortabfragen nötig sind - das geht in der Regel (aber nicht ausschließlich) mit .htaccess und seinen Verwandten.
Grüße aus Berlin
Christoph S.
-
Hallo Christoph,
Danke für die viele Mühe ;-) auf Deiner Seite, extra für mich !!!
Ich denke, es wird auf .htaccess hinauslaufen, wenngleich ich da noch 'ne Menge lesen / ausprobieren muß.
Gruß aus Bonn, Norbert
-
Hallo,
Ich denke, es wird auf .htaccess hinauslaufen, wenngleich ich da noch 'ne Menge lesen / ausprobieren muß.
So viel sollte es nicht sein. Aber ich glaube nicht, dass ein .htaccess Schutz auf deinem T-Online Webspace gehen wird.
Dafür benötigst du wohl einen richtigen Webspace Provider.Viele Grüße,
Stefan
-
So viel sollte es nicht sein.
Die zwei .htaccess Artikel unter http://aktuell.de.selfhtml.org/artikel/server/index.htm sollten schon reichen.
-
-
-
Hallo
- Ist es möglich, eine selbsterstelle Seite mit schöner Fehlermeldung (und nicht die übliche "...nicht gefunde"-Seite) anzuzeigen, wenn der User ein falsches Passwort eingibt?
Das sollte doch automatisch kommen, wenn man nun anstatt ABC def eigibt und jene Datei nicht existiert, oder? Es sei denn man hat ein Multiple-Choice in einem solchen Fall...
Aber lies auch noch 2)- Ist diese Methode auch sicher? Oder kann ein pfiffiger Internetnutzer die Übersicht über alle Dateien, die zu einer Website gehören einsehen und damit die Seite ABC.HTM finden?
Ein JavaScript-Passwortschutz ist nicht sicher. Die lassen sich leicht aushebeln. Wenn du etwas relativ sehr sicheres willst, so musst du einen .htaccess-Schutz nehmen (wird nicht von jedem Provider unterstützt!) Siehe dazu http://selfhtml.teamone.de/diverses/htaccess.htm
Mittels .htaccess ist es dir auch möglich, eigene Fehlerseiten zu definieren. Siehe dazu auch den o.g. Link.Grüße
David
--
"Nobody will ever need more than 640k RAM!"
1981 Bill Gates-
Hallo David,
zerst mal Vielen Dank!
Das sollte doch automatisch kommen, wenn man nun anstatt ABC def eigibt und jene Datei nicht existiert, oder? Es sei denn man hat ein Multiple-Choice in einem solchen Fall...
Es kommt bei Eingabe von def eine Seite des Providers (hier T-Online) mit dem Text "...Das Dokument konnte nicht gefunden werden. ". Ich möchte aber eine von mir anzeigen mit "Sie haben das falsche Paßwort eingegeben."
Ein JavaScript-Passwortschutz ist nicht sicher. Die lassen sich leicht aushebeln. Wenn du etwas relativ sehr sicheres willst, so musst du einen .htaccess-Schutz nehmen (wird nicht von jedem Provider unterstützt!) Siehe dazu http://selfhtml.teamone.de/diverses/htaccess.htm
Mittels .htaccess ist es dir auch möglich, eigene Fehlerseiten zu definieren. Siehe dazu auch den o.g. Link.Das hab ich mir durchgelesen, bin aber noch nicht damit zurecht gekommen. Wo beispielsweise gibt denn der Nutzer sein Paßwort ein und wie rufe ich so eine .htaccess-Seite auf? Hat einer 'ne fertige Lösung in der Schublade?
Danke!,
Gruß, Norbert
-
Das mit dem JavaScript Schutz solltest Du ganz schnell vergessen.
Bei t-online hast Du für solche sachen eh keine chance.
Wenn Du wirklich ein schnippchen schlagen willst:
Im internet wo auch immer gibt es genug, bei denen Du z.B. Perl Scripte hinterlegen kannst.Damit könntest Du eine sichere Passwortabfrage erstellen und dann z.B. templates laden diese mit inhalten versorgen und raus schicken.
Einfach und klappt recht gut.