nicht angemeldet
Automatische Passwortübermittlung in Link?
Hallo Forum,
ich suche nach einer Möglichkeit in einem Link, der auf eine passwortgeschützte Seite führt (Netzwerkpasswort) direkt das Passwort mitzuschicken, da ich sonst ständig das Passwort eingeben müsste.
Ist das mit HTML möglich?
Gibt es sonst eine einfache Möglichkeit?
Habe leider nichts im Forum darüber finden können...
Vielen Dank im Vorraus.
-
Hi,
hier ein paar utopische passwort und logindaten:
user: tobias
pass: fallschirmso könnte ein link aussehen:
http://tobias:fallschirm@www.geschueztedomain.de/verzeichn/
gruß, Sebastian Unterberg
-
Hallo Sebastian,
ich suche nach einer Möglichkeit in einem Link, der auf eine
passwortgeschützte Seite führt (Netzwerkpasswort) direkt das Passwort
mitzuschicken, da ich sonst ständig das Passwort eingeben müsste.Ist das mit HTML möglich?
Gibt es sonst eine einfache Möglichkeit?Nein, das ist Standard-Konform und Sicherheits-bedingt nicht möglich.
Es gibt einige Browser, die die Form http://username:passwort@url/
unterstützen, doch a) ist diese URL ungültig und b) stellt sie ein
enormes Sicherheitsrisiko dar, da z. B. der IE eine solche URL auch
als Referrer überträgt.Grüße,
CK--
Death is God's way of telling you not to be such a wise guy.-
Hallo.
Nein, das ist Standard-Konform und Sicherheits-bedingt nicht möglich.
Es gibt einige Browser, die die Form http://username:passwort@url/
unterstützen, doch a) ist diese URL ungültig und b) stellt sie ein
enormes Sicherheitsrisiko dar, da z. B. der IE eine solche URL auch
als Referrer überträgt.Kann ich server-seitig Einfluss darauf nehemen, dass eine solche inkorrekte URL vom Server verarbeitet wird? Wie wäre dies etwa beim Apache möglich?
MfG, at-
Hallo at,
[... http://username:passwort@url/-URIs ...]
Kann ich server-seitig Einfluss darauf nehemen, dass eine solche
inkorrekte URL vom Server verarbeitet wird?Nein. Ein derartiger Link wird vom Browser umgesetzt in den
entsprechenden GET-Request, der Server bekommt so ohne weiteres gar
nicht mit, dass entsprechende Mechanismen benutzt werden. Man merkt es
halt uU hinterher im Logfile wenn derartige Einträge im Referrer-Feld
existieren.Wie wäre dies etwa beim Apache möglich?
Man könnte mit SetEnvIf tricksen. Vielleicht sowas wie:
SetEnvIfNoCase Referer "^http://[a-z0-9]+:[a-z0-9]+@" denied_by_referer
<Directory "...">
Order Allow,Deny
Allow From All
Deny From env=denied_by_referer
</Directory>Grüße,
CK--
Wer sich zu überschwänglich freut, wir später Grund zum Weinen haben.-
Hallo.
Man merkt es
halt uU hinterher im Logfile wenn derartige Einträge im Referrer-Feld
existieren.Das war doch schon einmal ein Stichwort :-)
Man könnte mit SetEnvIf tricksen. Vielleicht sowas wie:
SetEnvIfNoCase Referer "^http://[a-z0-9]+:[a-z0-9]+@" denied_by_referer
<Directory "...">
Order Allow,Deny
Allow From All
Deny From env=denied_by_referer
</Directory>Vielen Dank, mal sehen.
MfG, at-
Hallo at,
interessant ist, dass der IE wohl nicht ganz Threadsafe zu sein scheint.
Auf jedenfall schickt er die Referer auch gern mal an Seiten aus einer
anderen Fenster-Instanz. Ist natürlich dann sehr interessant, wenn auf
einmal wildfremde Daten in den Logfiles stehen ;)Grüße,
CK--
Es gibt keinen Ort, wo der Geist zu finden waere. Er ist wie die Fussspuren der Voegel am Himmel.-
Hallo.
interessant ist, dass der IE wohl nicht ganz Threadsafe zu sein scheint.
Auf jedenfall schickt er die Referer auch gern mal an Seiten aus einer
anderen Fenster-Instanz. Ist natürlich dann sehr interessant, wenn auf
einmal wildfremde Daten in den Logfiles stehen ;)Das würde jedenfalls erklären, wie manche Blogs zu ihren Referrer-Listen kommen. Selbst habe ich allerdings noch keine Unregelmäßigkeiten beobachten können. Aber in Verbindung mit dem seltsamen Gebaren im Zusammenhang mit den Passwörtern ergibt sich so ja ein explosives Gemisch.
MfG, at
-
-
-
-
-
-
Hi!
Also erstmal: Passwort direkt Mitschicken ist natürlich nicht der Sinn von Passwörtern. Jeder, der auf den Link klickt würde dann in den PW-geschützten Bereich kommen und wenn das PW auf einer Website im Internet zu finden wäre, dann würden da evtl. recht viele Leute rankommen..?So, aber zur Technik. Eine Scriptsprache wie PHP steht nicht zur Verfügung? Nur reines HTML?
Ich weiß nicht, was das "Netzwerkpasswort" genau bedeutet. In welcher Form braucht die Abfrage das PW? Du könntest einmal Daten per URL weiterreichen (GET) <a href="passwortbereich.html?pw=nicht_mehr_geheim">Log in</a> oder Du könntest die Daten per POST weitergeben. Dazu bräuchtest Du dann ein Formular.
<form name="bla" method="post" action="passwortbereich.html">
<input type="hidden" name="pass" value="passwort">
<input type="submit" name="abschicken" value="log in">
</form>-
Hi,
danke für die prompten Antworten!
Ich werde es gleich testen...rob:
Der Aufruf soll über eine lokale Seite erfolgen, wird also nicht ins Netz gestellt, sonst wäre die Passwortfunktion sinnlos, da stimme ich zu.
Es soll lediglich im Intranet von einem PC mitgeschickt werden, der Daten anzeigen soll, die auf besagter passwortgeschützter Seite liegen.
Für andere soll die normale Abfrage stattfinden.Mit Netzwerkpasswort meine ich die standard passwortabfrage mit Benutzernamen und Passwort.
Gruß,
Sebastian-
Hi,
Der Aufruf soll über eine lokale Seite erfolgen, wird also nicht ins Netz gestellt, sonst wäre die Passwortfunktion sinnlos, da stimme ich zu.
Es soll lediglich im Intranet von einem PC mitgeschickt werden, der Daten anzeigen soll, die auf besagter passwortgeschützter Seite liegen.
Für andere soll die normale Abfrage stattfinden.Hat der Intranet-PC eine fixe IP?
Dann wäre es sinnvoller, diese aus dem Paßwortschutz auszunehmen.cu,
Andreas--
MudGuard? Siehe http://www.mud-guard.de/
-
-