Maver: Passwort Fragen

SELF-Forum

Passwort Fragen

Maver
Informationen zu den Bewertungsregeln

Hallo,

eine Web Site erstellt die durch .htaccess gesichert ist. Das funktioniert auch soweit sehr gut und ich bin zufrieden. Habe trotzdem 2 Fragen:

1. die geschützten Web Sites liegen auf meinem Web Server. Kann man diese Dateien extra schützen, sodass nicht jeder der auf dem Web Server ist sie öffnen und lesen kann. Der .htaccess Schutz soll aber nicht verloren gehen.

2. Wenn ich die geschützte Seite im Browser aufrufen und User und Passwort eingeben, merkt er sich diese bis ich den Browser ganz schließe, erst dann geht das Passwort verloren. Ich will aber das bei jedem öffnen des geschützten Bereiches das Passwort abgefragt wird, egal wie oft dieser bereits geöffnet worden ist.

Vielen Dank für Eure Hilfe

Gruß

Maver

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Passwort Fragen

    Martin Hölter Homepage des Autors
    Informationen zu den Bewertungsregeln

    HI!

    1. die geschützten Web Sites liegen auf meinem Web Server. Kann man diese Dateien extra schützen, sodass nicht jeder der auf dem Web Server ist sie öffnen und lesen kann. Der .htaccess Schutz soll aber nicht verloren gehen.

    Was meinst du mit "jeder der auf dem Web Server ist"? Greifen die User per HTTP drauf zu, dann zieht .htaccess. Wie lässt du sie denn noch drauf zugreifen? SSH? FTP? VNC?

    1. Wenn ich die geschützte Seite im Browser aufrufen und User und Passwort eingeben, merkt er sich diese bis ich den Browser ganz schließe, erst dann geht das Passwort verloren. Ich will aber das bei jedem öffnen des geschützten Bereiches das Passwort abgefragt wird, egal wie oft dieser bereits geöffnet worden ist.

    Dies ist mit einem ".htaccess-Schutz"[1] nicht möglich.

    Gruß aus Iserlohn

    Martin

    [1]eigentlich heisst das ganze HTTP Basic authentication

    --
    Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)
    Geht zum Weltspartag!
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Passwort Fragen

      Maver
      Informationen zu den Bewertungsregeln

      zu 1.
      Der Web Server steht in einer Firma und da kann es mal passieren das nicht der richtige User am PC ist. Muss man halt den PC richtig schützen, richtig?

      zu 2.
      klingt so als ob es nur mit dem einfachen .htaccess nicht geht. Mich interessiert wie es geht.

      Danke

      Gruß

      Maver

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. Passwort Fragen

        Martin Hölter Homepage des Autors
        Informationen zu den Bewertungsregeln

        Hi!

        zu 1.
        Der Web Server steht in einer Firma und da kann es mal passieren das nicht der richtige User am PC ist. Muss man halt den PC richtig schützen, richtig?

        Ja. Der beste Schutz ist, niemandem physischen Zugriff auf den Server zu geben. Ansonsten musst du dich mit der Rechtevergabe deines Betriebssystems auseinandersetzen. An der Stelle klinke ich ich aus, hab ich zu wenig Ahnung von, als dass ich dir Hilfe geben könnte.

        zu 2.
        klingt so als ob es nur mit dem einfachen .htaccess nicht geht. Mich interessiert wie es geht.

        Login per serverseitiger Sprache (Stichwort sessions), und dann je nach angemeldetem User die gewünschte Ressource oder eine Fehlerseite ausliefern.

        Gruß aus Iserlohn

        Martin

        --
        Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)
        Geht zum Weltspartag!
        Beitrag melden
        Informationen zu den Bewertungsregeln

      2. Passwort Fragen

        Christoph Zurnieden
        Informationen zu den Bewertungsregeln

        Hi,

        zu 1.
        Der Web Server steht in einer Firma und da kann es mal passieren das nicht der richtige User am PC ist. Muss man halt den PC richtig schützen, richtig?

        Ist hier "PC" der Server?
        Das Problem "untrusted host" hatte ich auch schon einmal und habe einen Workaround mit Verschluesselung in Javascript gebastelt.
        Der Code liegt vollstaendig heir im Archiv, muesstest mal nach "XTEA" im Zusammenhang mit meinem Namen suchen. Ist auf zwei Postings verteilt, also nichts vergessen.

        zu 2.
        klingt so als ob es nur mit dem einfachen .htaccess nicht geht. Mich interessiert wie es geht.

        Dies kannst Du nur im Browser abstellen. Nicht vergessen: hardcodieren, sonst bringt das nix!
        War doch exklusiv fuer's eigene Intranet, oder habe ich da 'was missverstanden?

        Eine kleine Unannehmlichkeit fuer den Benutzer gibt's, wenn Du das zu brutal implementierst, dann muss er sich fuer jedes kleine Bildchen o.ae. neu ausweisen. Nicht nur deswegen halt ich es fuer den falschen Weg: Du versuchts ein nicht-technisches Problem (die Benutzer loggen sich nicht sofort nach Gebrauch aus) durch technische Mittel zu loesen. Lass Dir gesagt sein: das haut nie hin. Eine sorgfaeltige Schulung mit ordentlich Zuckerbrot und moeglichst wenig Peitsche tut da nicht nur mitunter Wunder sondern spart auch langfristig Geld.
        Zudem solltest Du, wie Martin schon ganz richtig anmerkte die Sicherung des Servers wirklich nochmal ueberdenken, wenn da jeder mit seinen unegalen Fingern dran rumpfuschen kann ;-)

        so short

        Christoph Zurnieden

        Beitrag melden
        Informationen zu den Bewertungsregeln