nicht angemeldet
Kann man ein .htaccess-Passwort in eine url packen?
0 0 1
Kann man ein .htaccess-Passwort in eine url packen?
Gunnar BittersmannHallo
Ich habe eine Unterseite (Unterordner auf dem Server) mit .htaccess-pw belegt und möchte jemandem per E-Mail einen Link senden. Dabei würde ich gerne auch das pw in die url packen und überlege nun, ob es da was gibt. Gibt es da was?
Herzliche Grüße
Wolfgang
-
Grüße,
Gibt es da was?
nicht, dass ich wüßte :(
MFG
bleicher -
Ich habe eine Unterseite (Unterordner auf dem Server) mit .htaccess-pw belegt und möchte jemandem per E-Mail einen Link senden. Dabei würde ich gerne auch das pw in die url packen und überlege nun, ob es da was gibt. Gibt es da was?
Klar!
http://benutzername:passwort@www.example.com
Greetz,
Matt-
http://benutzername:passwort@www.example.com
welcher standard sieht das vor?
anm: nicht, dass es nicht funktionieren würde - aber afaik ist das so nicht vorgesehen ;)
-
anm: nicht, dass es nicht funktionieren würde - aber afaik ist das so nicht vorgesehen ;)
So lange es funktioniert nutze ich. Wenn es mal nicht mehr funktionieren wird, werde ich noch mal fragen ...
-
Hi,
So lange es funktioniert nutze ich. Wenn es mal nicht mehr funktionieren wird, werde ich noch mal fragen ...
warum? Dein Thread ist noch aktiv, Du brauchst die Frage nicht erneut zu stellen.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
-
-
http://benutzername:passwort@www.example.com
welcher standard sieht das vor?Firefox 2 & 3 kann es. Mehr hab ich nicht zu testen.
Ist wohl ein Feature des Browsers.anm: nicht, dass es nicht funktionieren würde - aber afaik ist das so nicht vorgesehen ;)
Ja, im Prinzip isses ein Verstoß gegen die Regeln.
Obwohl... wird nur nicht empfohlen.Auszug RFC 2396 (http://www.ietf.org/rfc/rfc2396.txt):
"Some URL schemes use the format "user:password" in the userinfo field. This practice is NOT RECOMMENDED, because of security..."
in RFC 1738 steht jedoch...
RFC1738 3.3 "HTTP":"No user name or password is allowed."
Greetz
Matt-
firma dankt für die beiden auszüge, die hab ich gesucht ;)
-
-
-
Danke, dass erspart mir eine php-Lösung
-
Hi,
http://benutzername:passwort@www.example.com
glücklicherweise wird dieser grobe Unfug nur von wenigen Browsern unterstützt.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
glücklicherweise wird dieser grobe Unfug nur von wenigen Browsern unterstützt.
Stimmt - ie macht das leider nicht ...
-
Hi,
Stimmt - ie macht das leider nicht ...
ich kann daran kein "leider" entdecken. Hier hat der IE ausnahmsweise die Nase vorn.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Yerf!
ich kann daran kein "leider" entdecken. Hier hat der IE ausnahmsweise die Nase vorn.
Naja, einen Fehler in der Darstellung des Linkziels in der Stausleiste (der bei Verwendung des hier genannten Schemas zur vollständigen Verschleierung des tatsächliche Ziels genutzt werden kann) dadurch zu "Patchen", dass man dieses Schema verbietet, anstatt den eigentlichen Fehler (Probleme mit Steuerzeichen im String) zu beheben, würde ich anderes bezeichnen...
Gruß,
Harlequin
--
<!--[if IE]>This page is best viewed with a webbrowser. Get one today!<![endif]-->-
Hi,
ich kann daran kein "leider" entdecken. Hier hat der IE ausnahmsweise die Nase vorn.
Naja, einen Fehler in der Darstellung des Linkziels in der Stausleiste (der bei Verwendung des hier genannten Schemas zur vollständigen Verschleierung des tatsächliche Ziels genutzt werden kann) dadurch zu "Patchen", dass man dieses Schema verbietet, anstatt den eigentlichen Fehler (Probleme mit Steuerzeichen im String) zu beheben, würde ich anderes bezeichnen...stimmt auch wieder: Es verdient die Bezeichnung "inkonsequent". Wegen (u.a.) der vielen Nullbyte-Bugs mit URLs hätte Microsoft eigentlich mindestens die gesamte Adresszeile wegpatchen müssen.
Ha, we're back to MS-bashing ;-)
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Wegen (u.a.) der vielen Nullbyte-Bugs mit URLs hätte Microsoft eigentlich mindestens die gesamte Adresszeile wegpatchen müssen.
Das geht aber nicht. Wie sollen denn sonst Windowsuser nach einer Neuinstallation auf www.mozilla.com gehen um sich nen Browser runterzuladen?
-
Wegen (u.a.) der vielen Nullbyte-Bugs mit URLs hätte Microsoft eigentlich mindestens die gesamte Adresszeile wegpatchen müssen.
Das geht aber nicht. Wie sollen denn sonst Windowsuser nach einer Neuinstallation auf www.mozilla.com gehen um sich nen Browser runterzuladen?
Im Zweifelsfall mit Kommandozeilen-FTP-Client ;)
Christoph
-
Das geht aber nicht. Wie sollen denn sonst Windowsuser nach einer Neuinstallation auf www.mozilla.com gehen um sich nen Browser runterzuladen?
Ist nicht die Default-Startseite bei aktuellen IEs de.msn.com? Dort gibt es ein Suchfeld und die Suche nach "Mozilla Firefox" führt auch zu diesem.
--
Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.
Self-Code: sh:( ch:? rl:( br:> n4:( ie:{ mo:) va:) de:> zu:} fl:| ss:| ls:~ js:|
-
-
-
-
-
-
-
-
Hi,
Ich habe eine Unterseite (Unterordner auf dem Server) mit .htaccess-pw belegt
mit HTTP-Authentication (vermute ich). Dies hat *nichts* mit der verzeichnislokalen Konfigurationsdatei .htaccess zu tun.
und möchte jemandem per E-Mail einen Link senden.
Du meinst sicher: "und möchte diesen jetzt ausschalten." Durch Erzeugung einer URL, die die Authentifizierung bereits enthält, wird der Mechanismus ad absurdum geführt.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hallo
Du meinst sicher: "und möchte diesen jetzt ausschalten." Durch Erzeugung einer URL, die die Authentifizierung bereits enthält, wird der Mechanismus ad absurdum geführt.
Ich habe einen Unterordner mit Bewerbungsunterlagen. Der .htaccess-Schutz dient dazu die Suchmaschinen oder ähnliches fernzuhalten. Bei einer Bewerbung sende ich in der Regel Link, Nutzername und PW.
Dann müssen die Leute einen einfachen Usernamen und ein einfaches PW eben manuell eingeben und ich habe nur darüber nachgedacht, es einfacher zu machen. Das ist alles.
Herzliche Grüße
Wolfgang-
@@Wolfgang:
Ich habe einen Unterordner mit Bewerbungsunterlagen. Der .htaccess-Schutz dient dazu die Suchmaschinen oder ähnliches fernzuhalten.
Dafür ist nicht HTTP-Authentifizierung Mittel der Wahl, sondern <http://de.selfhtml.org/diverses/robots.htm@title=andere Techniken>.
Live long and prosper,
Gunnar--
Erwebsregel 208: Manchmal ist das einzige, was gefährlicher als eine Frage ist, eine Antwort.-
Dafür ist nicht HTTP-Authentifizierung Mittel der Wahl, sondern <http://de.selfhtml.org/diverses/robots.htm@title=andere Techniken>.
Schön und wie bitte halte ich pöse Suchmaschinen und anderers automatische Zeugs fern?
-
Hi,
Schön und wie bitte halte ich pöse Suchmaschinen und anderers automatische Zeugs fern?
bestimmt nicht indem Du URLs veröffentlichst, die sie leicht abcrawlen können. Und genau das war Dein Vorhaben.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
Schön und wie bitte halte ich pöse Suchmaschinen und anderers automatische Zeugs fern?
Andere Frage. Wieso glaubst du, eine Seite vor irgendjemand schützen zu können, wenn du die Zugangsdaten an viele Personen unverschlüsselt überträgst?
Solange deine Bewerbungsunterlagen nirgends auf einer Webseite verlinkt sind, kommt doch eh kein Crawler drauf.
-
Tach,
Solange deine Bewerbungsunterlagen nirgends auf einer Webseite verlinkt sind, kommt doch eh kein Crawler drauf.
mfg
Woodfighter-
Du meinst, das Ding überträgt die besuchten Seiten an Google?
Na dann wird sich der versendete Link des OP inkl. User und Passwort auch bald bei Google finden ;)-
Tach,
Du meinst, das Ding überträgt die besuchten Seiten an Google?
ja, das tut allerdings auch Firefox, ich denke da z.B. an das Phishing-Feature.
mfg
Woodfighter-
ja, das tut allerdings auch Firefox, ich denke da z.B. an das Phishing-Feature.
Dann werden diese Adressen aber nicht indexiert. Denn sonst würden meine Intranetseiten auch bei Google auftauchen.
Immerhin bekommt jeder Kunde einen Link um die Fortschritte in seinem Projekt sehen zu können. Und bei meinen Kunden arbeiten viele mit Firefox.-
Tach,
Dann werden diese Adressen aber nicht indexiert. Denn sonst würden meine Intranetseiten auch bei Google auftauchen.
Immerhin bekommt jeder Kunde einen Link um die Fortschritte in seinem Projekt sehen zu können. Und bei meinen Kunden arbeiten viele mit Firefox.was nicht gespidert werden kann, wird wohl auch nicht im Index landen und ich gehe einfach mal davon aus, dass bei Intranetseiten ein weiterer Schutz außer security by obscurity vorliegt.
mfg
Woodfighter-
ich gehe einfach mal davon aus, dass bei Intranetseiten ein weiterer Schutz außer security by obscurity vorliegt.
Nur bei Seiten, bei denen es nötig ist. Da es sich um 90% um Entwicklungen auf Basis meines CMS handelt, müsste zumindest die Loginseite gespidert werden, die einzige Intranetadresse von mir ist aber die, die ich in einem Board gepostet habe. Alles hinter der Loginseite ist eh ohne Zugangsdaten nicht erreichbar, deshalb braucht es keinen zusätzlichen Schutz.
Dem Kunden wird natürlich gesagt, dass die Seite von jedem einsebar ist und er auf Wunsch natürlich eine HTTP-Authentication bekommt (ich sag immer, ich schütze die Seite per .htaccess, dann kennen sich die Meisten aus ;))Offensichtlich werden also solche Seiten nicht gespidert, auch wenn sie gespidert werden könnten. Sonst hätte ich dagegen schon lange was unternommen.
-
Tach,
Offensichtlich werden also solche Seiten nicht gespidert, auch wenn sie gespidert werden könnten.
ich würde da ein noch im ersten Teilsatz unterbringen; ich gehe davon aus, dass Goolge mit der Hilfe von Chrome versuchen wird, größere Teile der weißen Flecken auf der Internetkarte aufzudecken.
mfg
Woodfighter-
ich würde da ein noch im ersten Teilsatz unterbringen; ich gehe davon aus, dass Goolge mit der Hilfe von Chrome versuchen wird, größere Teile der weißen Flecken auf der Internetkarte aufzudecken.
Da hast du schon Recht. In Bezug auf Chrome habe ich hier meine Arbeitsweise schon überdacht.
Dabei ist das Hauptproblem, dass beim Onlinestellen mit der "echten" Domain dann praktisch doppelter COntent entstehend würde, weil Google evtl. Seiten spidert, auf denen es nichts veroren hat.Wie ich das genau löse, weiss ich noch nicht. Passwortabfragen will ich weitestgehend vermeiden weil es zusätzlicher Aufwand für den Kunden ist.
Muss ich mich mal schalu machen, wie zuverlässig in diesem Fall die robots.txt ist, evtl in Kombination mit der Abfrage des Clientnamen (Googlebot sagt ja, wenn er vorbeikommt ;))
Spannend wird aber, ob auch andere SUMas an die Daten von Chrome rankommen. Denn wer kann schon wissen, ob sich andere SuMas an die robots.txt halten und sich anständig als Bot anmelden ;)
-
-
-
-
-
-
-
-
-
-
-
-