Hello,

Toms Versuche mit dem Provozieren von Anmeldedaten scheitert meines Erachtens an dem Punkt, wo es darum geht, eine Seite wahlweise unangemeldet oder angemeldet betrachten zu können, denn das grundsätzliche Problem ist ja nicht gelöst: Ohne Anmeldedaten soll ja kein Anmeldefenster erscheinen - aber nur wenn jemals das Anmeldefenster erschien, wird der Browser die Anmeldedaten überhaupt mitsenden.

Das mit dem Anmeldefenster lässt sich steuern, indem man den Client ganz bewusst einen 401 anfordern lässt, quasi per "Login-Button". Fortan merkt er sich für den Ressource-Pfad dann Username und Passwort.

Was sich wahrscheinlich nicht regeln lässt, ist das wahlweise Anzeigen oder Ausblenden von Ressourcen im Index. Dafür ist htaccess ja auch nicht gedacht. Oder habe ich jetzt was übersehen?

Abgesehen davon ist ein Verzeichnis, in dem NICHT mit .htaccess der Zugang kontrolliert wird, grundsätzlich unkontrollierter Zugriff von außen möglich. Lediglich die Skripte, die die Authentifizierung prüfen, würden ggf. den Zugriff ablehnen. Es ist von daher taktisch unklug, auf .htaccess zu verzichten.

Meine Idess war da, Verzeichnis immer mit .htaccess schützen und auf diesem Wege gar keinen Zugang zu gewähren, sondern eben nur mit einem Script, dass sich die Dateien dann auf Filesystemebene holt, auflistet und per "Link" an sich selbst zur Verfügung stellt.

Dann kann für jedes File separat geprüft werden, ob es an User ausgeliefert werden darf.
Das ist mit .htaccess und Servermitteln mMn nur sehr umständlich möglich.

Harzliche Grüße vom Berg
http://bergpost.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)