nicht angemeldet
Passwort mit .htaccess
Gunnar Bittersmannhallo zusammen. habe mir mit hilfe von selfhtml übungshalber eine Passwortgeschützte Seite eingerichtet. nach einigem basteln ist mir dies auch gelungen: habe eine .htaccess sowie eine .htusers datei im gleiche verzeichnis erstellt wie die zu schützende datei.
nun hab ich aber das problem, dass wenn ich das passwort einmal richtig eingegeben habe, die seite von meinem server aus dann solange ohne passwort zugänglich ist, bis ich den internet-explore (IE7)neustarte. (das finde ich sicherheitstechnisch doch sehr unschön. wenn nun mehrere personen an einem computer arbeiten, und di vorherige person den IE nicht schliesst, bevor sie geht, kann der nächste all ihre passwortgeschützten Seiten anschauen.)
hab ich da beim programmieren etwas vergessen? oder weiss jemand, wie man dieses problem beheben könnte?
lieber gruss jonas
-
Hi,
vielleicht hilft dir das weiter:
http://forum.de.selfhtml.org/archiv/2008/2/t166378/Gruß
-
@@Jonas Ruf:
habe eine .htaccess sowie eine .htusers datei im gleiche verzeichnis erstellt wie die zu schützende datei.
.htusers sollte nicht im gleichen Verzeichnis stehen, sondern in einem, das gar nicht über HTTP erreichbar ist!
Wie auch in [http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz@title=SELFHTML] erwähnt: „Im Interesse der Sicherheit ist es günstiger, die Datei mit den Namen der Benutzer und ihren Passwörtern außerhalb des Web-Projekts auf dem Server abzulegen.“
(Die nachfolgende Aussage trifft IMHO nicht zu.)
wenn ich das passwort einmal richtig eingegeben habe, die seite von meinem server aus dann solange ohne passwort zugänglich ist, bis ich den internet-explore (IE7)neustarte. (das finde ich sicherheitstechnisch doch sehr unschön. […])
Es ist aber nutzerfreundlich. Soll derselbe Nutzer bei jeder Seite dieser Website erneut Name und Passwort eingeben müssen?
oder weiss jemand, wie man dieses problem beheben könnte?
Sessions mit echtem Login/Logout. Und automatisches Logout nach x Minuten. Was die Gefahr, dass ein anderer Benutzer auf den Account des vorigen Benutzers dieses Computers zugreifen kann, wenn jener vergessen hat sich auszuloggen, nicht beseitigt, aber mindert.
Live long and prosper,
Gunnar--
„Das Internet ist ein großer Misthaufen, in dem man allerdings auch kleine Schätze und Perlen finden kann.“ (Joseph Weizenbaum)-
Dann schalte in den Internet-Optionen unter Autovervollständigen das Speichern von Kennwörtern ab.
-
@@LuNeX:
Dann schalte in den Internet-Optionen unter Autovervollständigen das Speichern von Kennwörtern ab.
Hä??
(1) Wenn du nicht auf mein Posting antwortest, plaziere deine Antwort bitte auch nicht als Antwort auf mein Posting.
(2) Was soll das auf fremden Computern bringen, eine Einstellung in seinem eigenen Browser zu ändern?
(3) Ändert die Option rein gar nichts an dem Verhalten eines Browsers, bei Anforderung einer neuen Seite derselben Website mit demselben Realm nicht erneut nach Name/Passwort zu fragen.
Live long and prosper,
Gunnar--
„Das Internet ist ein großer Misthaufen, in dem man allerdings auch kleine Schätze und Perlen finden kann.“ (Joseph Weizenbaum)
-
-