nicht angemeldet
loginsystem
hallo,
ich möchte gerne ein loginsystem für meine seite bauen, das folgendes können soll:
1. hohe sicherheit (keine einfache js-abfrage oder sowas)
2. es sollen auch ganze verzeichnisse am server geschützt werden können
3. möglichst mit eigenem login-formular
bei htaccess hab ich das problem, dass ich kein eigenes formular erstellen kann, soweit ich informiert bin.
bei anderen lösungen tu ich mir mit dem verzeichnis-schutz ein bissl schwer.
hat jemand ne idee?
danke!!
-
hallo,
bei htaccess hab ich das problem, dass ich kein eigenes formular erstellen kann, soweit ich informiert bin.
Das solltest du bitte begründen. Insbesondere ist unverständlich, was .htaccess mit einem "Formular" zu tun haben könnte.
bei anderen lösungen tu ich mir mit dem verzeichnis-schutz ein bissl schwer.
Das solltest du bitte erläutern. Was für einen "Verzeichnisschutz" möchtest du denn, und was fällt dir hier schwer?
hat jemand ne idee?
Ideen dürfte es dazu etliche hundert geben. Vermutlich ist .htaccess schon das richtige Stichwort, zusätzlich kannst du dir natürlich auch über sessions Gedanken machen.
Grüße aus Berlin
Christoph S.
-
Das solltest du bitte begründen. Insbesondere ist unverständlich, was .htaccess mit einem "Formular" zu tun haben könnte.
ich meine damit, daß ich den user-login, also das eingabefeld für benutzername und passwort selbst gestalten möchte. bei htaccess geht das ja nicht so ohne weiteres.
Das solltest du bitte erläutern. Was für einen "Verzeichnisschutz" möchtest du denn, und was fällt dir hier schwer?
unter verzeichnisschutz verstehe ich, daß ich den inhalt eines ordner am server nur bestimmten nutzern zur verfügung stellen möchte.
sessions Gedanken machen.
das war die zweite wahl von mir- da hab ich aber eben genau das erwähnte problem: ich kann nur eine datei schützen, die geparst wird, aber keinen ganzen ordner und schon garnicht z.b. ein einzelnes jpeg...
lg
h
-
Hallo herwig,
das war die zweite wahl von mir- da hab ich aber eben genau das erwähnte problem: ich kann nur eine datei schützen, die geparst wird, aber keinen ganzen ordner und schon garnicht z.b. ein einzelnes jpeg...
Natürlich geht das.
Leite dazu zuerst alle Anfragen für Dateien in diesem Ordner auf ein PHP-Script um [via mod_rewrite], welches die Auswertung macht: darf der Nutzer auf diese Datei zugreifen oder nicht [via Sessions]?
Danach kannst du den Inhalt der Datei über PHP ausgeben lassen - eben auch z.B. JPEGs.Grüße,
Willi
-
-
-
Hello,
möchtest Du Ressourcen schützen, also auf HTTP-Requests unterschiedlicher Nutzer unterschiedlich reagieren können? Dann solltest Du Dir erst einmalo überlegen, welche "Rechte" Du für diese Nutzer aufbauen willst.
Dann kommt die Nutzererkennung.
Dann kannst Du überlegen, ob die Durchsetzung der Rechte pro User durch den vorhandenen Webserver geleistet werden kann, oder ob Du ein ein eigenes System dafür benötigst.
Harzliche Grüße vom Berg
http://bergpost.annerschbarrich.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)
-
Hi herwig!
ich möchte gerne ein loginsystem für meine seite bauen, das folgendes können soll:
- hohe sicherheit (keine einfache js-abfrage oder sowas)
- es sollen auch ganze verzeichnisse am server geschützt werden können
- möglichst mit eigenem login-formular
- Ist das dein Server (physikalisch bei dir)?
- Wer ist als Client auserkoren?
Hintergrund der Fragen ist:
-
Server steht im Serverpark xy: Dann kannst du dich nicht gegen lokale Zugriffe der Serverparkbetreiber wehren => immer unsicher
-
Sicherst du jemand anderem zu, dass er auf ein "sicheres Verzeichnis" hochladen kann? Wäre ich dann dieser jemand, so lautet meine Frage: "why trust you?"
Wenn weder 1 noch 2 zutreffen, so schlage ich dir vor:
0) Erzeuge eine statische RAM Disk- Verschlüssle deine Nutzdateien/Verzeichnisse mit z.B. Truecrypt (Passwort kennst du dann). (->local secure)
- Konfiguriere deinen Server so, dass er https verwendet. (avoid man in the middle)
- Sende dein Passwort aus Formular(sichere Passwörter bestehen aus: mindestens 16 Zeichen willkürlich Gross/Kleinbuchstaben und Zahlen/Sonderzeichen) vom Browser per https an den Server
- lasse dein Verarbeitungs-CGI die entsprechenden Dateien über batch/Truecrypt "entschlüsseln/mounten"; generiere vom Passwort eine MD5 Sum und speichere diese auf der RAM Disk; Melde entschlüsselte Struktur (dir) an den Client. (*)
- Für jeden Datei-Zugriff muss der Client nun das Passwort mitsenden. Das CGI, das die Daten für den DL bereitstellen soll, bildet MD5 Summe, vergleicht mit RAM Disk MD5 und bei match wird Datei hergegeben.
- Logout: das CGI teilt truecrypt den unmount mit und löscht die MD5 SUM von der RAM Disk.
Problem (*) zwischen 4 und 6 liegen die Dateien für den lokalen Zugriff auf dem Server offen rum.
Wenn sich der Server deiner Beobachtung entzieht, dann kann auch dein Passwort z.B. im CGI abgegriffen werden etc.
Viel Spass,
Richard