nicht angemeldet
Moin!
Wenn du als Antwort mehr als "Nichts!" schreiben kannst, wäre das interessant.
Iiih bist Du garstig!
Meine typische Morgengarstigkeit kurz vor der Mittagspause - ist normal, gewöhn' dich besser dran. ;)
Denn "shtml" steht NICHT für "secure html" - das behaupten nur Betrüger-EMails, die einen zum Übermitteln der eigenen Kreditkartennummer oder irgendwelchen Passworten bewegen wollen.
Na, ist doch gut, das man hier immer wieder was lernen kann. Das bedeutet dann also, dass man für https kein ssl benöitigt?
Lernen - ja. :) Für HTTPS kein SSL benötigen - nein. :)
Die Sache ist doch simpel: HTTPS benutzt SSL, um zum Server eine verschlüsselte und u.U. auch authentifizierte Verbindung aufzubauen (Stichwort Client-Zertifikate) und sie dann zur Übertragung verschiedener Ressourcen zu benutzen.
Maßgeblich für das Vorhandensein einer verschlüsselten SSL-Verbindung ist, dass das Protokoll "HTTPS" genutzt wird. Das ist das einzige Kriterium. Die Ressourcen selbst dürfen heißen, wie sie wollen, das hat keinerlei Auswirkungen auf die Verschlüsselung.
Insbesondere dürfen die Seiten natürlich auch "irgendwas.shtml" heißen. Nur: Eine Seite ist nicht deswegen verschlüsselt übertragen, weil sie auf ".shtml" endet. Vielmehr deutet ".shtml" darauf hin, dass im Quelltext dieser Seite SSI (Server Side Includes) verwendet wird.
Wie schon gesagt: Betrüger versuchen glaubhaft zu versichern, ".shtml" stünde für "secure html". Ist aber falsch. :)
Dass bei fehlerhafter Beantwortung des Request-Dialogs (3x) mit dem Server "die" keine-Zugangsberechtigung-Seite kommt, kann man im Apachen konfigurieren und für diesen Fehler auch eine andere (eigene) Seite einbinden. Dazu müsste man aber das Manual von apache.org unter dem Stichwort "htaccess" lesen und verstehen.
Falsch. Für das Anzeigen der Loginfehler-Seite ist ganz allein der Browser verantwortlich. Der kann nach 3mal den Dialog aufgeben, wenn der Browserprogrammierer es toll findet, oder auch bis zur Unendlichkeit immer wieder das Dialogfenster anzeigen und nach einem Passwort fragen - die Fehlerseite kommt dann nur, wenn man auf abbrechen klickt.
Nee, nicht falsch aber nicht vollständig. Dass der Browser für die Anzahl der Versuche zuständig ist, ist auch klar. Nun sollte ein üblicher Browser die Fehlerseite aber vom Server mit der ersten 401 übertragen bekommen und eigentlich auch anzeigen, wenn Abbruch oder Fehler auftreten. Dass es immer auch "uneigentlich" gibt, ist auch klar, oder?
Das mir das klar ist, ist klar, oder? Aber ist es jedem anderen klar, insbesondere dem Fragesteller?
Das "Falsch" bezieht sich insbesondere auf den Eindruck, den deine Formulierung dahingehend entstehen ließe, im Apache könne man Einfluß auf die "3 Eingabeversuche im Browser" nehmen. Man kann im Apache den Inhalt der 401-Seite gestalten - genau das (also dein zweiter Satzteil) ist möglich, auf mehr hat man aber keinen Einfluß. Insbesondere kann man sich bei HTTP-Auth nicht dagegen wehren, dass eine Fehlerseite ausgeliefert wird, man kann eben nur deren Inhalt verändern.
Gegen die Sessions von PHP ist aber absolut nichts einzuwenden.
Die aber eben nur mit Cookie vernünftig sind. Die Variante mit Trans_SID ist nicht glücklich. Das ist ja fast diejenige, die Thomas hier selber "erfunden" hat.
Welche anderen Methoden außer
1. HTTP-Auth
2. Cookies
3. URL- und Formular-Übermittlung
der Session kennst du?
Die PHP-Sessions decken Punkt 2 und 3 ab, wer hinreichend Einfluß auf die Konfiguration nehmen kann, kann sich das alles so einstellen, wie es seine Sicherheitsanforderungen verlangen. Mit "bösen Workaround[tm]" kann er trans_sid sogar dann ausschalten und somit "cookie-only"-Sessions produzieren, wenn er keinen Zugriff drauf hat.
Und was steht dagegen, eine Client-Identifikation mit "Auth401" durchzuführen und trotzdem eine Session zu führen? Passwort und Loginname reichen als Sessionkennung aus. Man kann sich leider nicht abmelden.
Das mit dem Abmelden ist durchaus ein Problem. Alle möglichen Webdienste predigen "Melden Sie sich unbedingt ab." Jede andere Lösung steht dazu etwas im Widerspruch.
- Sven Rautenberg