Passwortschutz für post Methode
developer
- html
Hallo zusammen,
ich programmiere die Homepage für eine passwortgeschützte Applikation.
In der Anwendung können 2 Benutzergruppen angelegt werden. Der user, mit begrenztem Zugriff, und der Admin der alles darf.
So weit funktioniert alles gut, nur habe ich Probleme mit dem Senden der eingegebene Daten eines Formulars.
Der User hat ein Lesezugriff auf das Formular. Wenn die Daten verändert werden sollen, muss sich zum Senden der Admin anmelden. Hierzu habe ich eine passwortgeschützte Dummyseite angelegt, die beim Drücken des Submitbuttons aufgerufen wird.
Hier nun mein Problem:
Beim Senden der Daten an den Server erscheint sehr oft, nicht immer, die Meldung "Webseite nicht vorhanden". Nach dem Aktualisieren wird die Seite angezeigt. Auch wenn der Admin sich bereits vorher angemeldet hat habe ich das Verhalten noch nicht beobachtet.
Woran kann das liegen?
Besten Dank im voraus
developer
Ich versteh das Prinzip nicht ganz.
Der User meldet sich an und wird beim Server als angemeldet geführt? Sessions zum Beispiel?
Der User hat ein Lesezugriff auf das Formular.
Dann würd ich dem Admin ein Formular geben und dem nicht-Admin nur eine Seite ohne Formular.
Hierzu habe ich eine passwortgeschützte Dummyseite angelegt, die beim Drücken des Submitbuttons aufgerufen wird.
Warum Dummy und nicht das was wirklich das Formular bearbeiten soll? Das fragt das Passwort ab und macht dem entsprechend das was es soll, oder halt nichts.
Hi und danke für die schnelle Antwort,
Ich versteh das Prinzip nicht ganz.
Der User meldet sich an und wird beim Server als angemeldet geführt? Sessions zum Beispiel?Der User hat ein Lesezugriff auf das Formular.
Dann würd ich dem Admin ein Formular geben und dem nicht-Admin nur eine Seite ohne Formular.
Die Webseite läuft aber auf einem embedded device mit 1Mbit Platz. Da zählt jedes Bit und so kann ich eine komplette Webseite mit großer Tabelle einsparen so dass alles passt.
Warum Dummy und nicht das was wirklich das Formular bearbeiten soll? Das fragt das Passwort ab und macht dem entsprechend das was es soll, oder halt nichts.
Ich muss Platz sparen. Es handelt sich nicht um einen standard PC, oder Server, auf dem alles läuft. Es ist ein embedded System mit 1MBit Platz für die Webseite und laufzeit Parameter. Da zählt jedes Bit das eingespart werden kann.
Ich habe mir inzwischen einen neune Trace mit Wireshark gezogen und dabei ist mir aufgefallen, dass der IE nach der Passworteingabe nichts weiter sendet.
Kann sich das jemand erklären ?
Gruß
developer
hi,
..eine passwortgeschützte Dummyseite angelegt, die beim Drücken des Submitbuttons aufgerufen wird.
das ist doch Murks.
Woran kann das liegen?
Da denke ich gar nicht weiter drüber nach. Trenne das sauber, mache ein Script für den Manager (.htaccess) und ein Script für's Fußvolk.
Hotti
Hi und danke für die schnelle Antwort,
mir ist bekannt das die Dummyseite nur eine Notlösung ist. Die Webseite läuft aber auf einem embedded device mit 1Mbit Platz. Da zählt jedes Bit und so kann ich eine komplette Webseite mit großer Tabelle einsparen.
Die Datei .htaccess existiert auf meinem System nicht. Ich nutze einen TCP/IP Stack von Microchip.
Gruß
developer
hi,
..eine passwortgeschützte Dummyseite angelegt, die beim Drücken des Submitbuttons aufgerufen wird.
das ist doch Murks.
Woran kann das liegen?
Da denke ich gar nicht weiter drüber nach. Trenne das sauber, mache ein Script für den Manager (.htaccess) und ein Script für's Fußvolk.
Hotti
Hello,
Der User hat ein Lesezugriff auf das Formular. Wenn die Daten verändert werden sollen, muss sich zum Senden der Admin anmelden. Hierzu habe ich eine passwortgeschützte Dummyseite angelegt, die beim Drücken des Submitbuttons aufgerufen wird.
Was jeder darf, sollte die Applikation auf dem Server (dein Script) bei jedem Request neu feststellen. Dann kann das Script daraus auch bestimmen, was in der Response drinstehen sollte.
Ob Du das nun per Session feststellst, oder per mit jedem Request übertragenen Credentials (Basic Authentication) ist erst einmal zweitrangig.
Wenn allerdings eine "Abmeldung" oder "Ummeldung" des Benutzers gewünscht wird, dann funktioniert hier Basic Authenticateion nicht mehr. Dann ist eine Session per Cookie oder im Requeststring oder im Requestbody (z.B. bei Post von Formularen) enthaltenen Parametern für Passwort und Benutzeraccount notwendig.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Hallo und danke für die schnelle Hilfe,
es geht um die Ummeldung des Benutzers und der mittels Basic Authentication. Beim öffnen einer Webseite ohne Post funktioniert es ohne Probleme, nur beim öffnen mit Post nicht.
Ich habe mir mit Wireshark einen Trace angesehen und dabei ist mir im Fehlerfall aufgefallen, das der IE zwar zur Passworteingabe auffordert, dies aber nicht weiter benutzt. (Nicht immer).
Hat jemand eine Erklärung
Gruß
developer
Hello,
Der User hat ein Lesezugriff auf das Formular. Wenn die Daten verändert werden sollen, muss sich zum Senden der Admin anmelden. Hierzu habe ich eine passwortgeschützte Dummyseite angelegt, die beim Drücken des Submitbuttons aufgerufen wird.
Was jeder darf, sollte die Applikation auf dem Server (dein Script) bei jedem Request neu feststellen. Dann kann das Script daraus auch bestimmen, was in der Response drinstehen sollte.
Ob Du das nun per Session feststellst, oder per mit jedem Request übertragenen Credentials (Basic Authentication) ist erst einmal zweitrangig.
Wenn allerdings eine "Abmeldung" oder "Ummeldung" des Benutzers gewünscht wird, dann funktioniert hier Basic Authenticateion nicht mehr. Dann ist eine Session per Cookie oder im Requeststring oder im Requestbody (z.B. bei Post von Formularen) enthaltenen Parametern für Passwort und Benutzeraccount notwendig.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Hello,
es geht um die Ummeldung des Benutzers und der mittels Basic Authentication. Beim öffnen einer Webseite ohne Post funktioniert es ohne Probleme, nur beim öffnen mit Post nicht.
Die Basic Authentication kennt keine sichere Methode, die Anmeldung im Browser wirder rückgängig zu machen. Man muss alle Instanzen des Browsers, die sich auf die URL beziehen, schließen.
Das ist mMn zwar eigentlich ein Designfehler bei den Browsern, aber führt eben zu dem von mir erwähnten Kummer.
Wenn Du aber eine "Abmeldung" oder "Ummeldung" ermöglichen willst, dann bleiben Dir nur Cookies oder andere in den Requestparamtern enthaltene Paramter (Hidden-Fields, URL-Anhänge, ...)
Diese _kann_ PHP bei Nutzung von Sessions selbstständig erzeugen (Stichwort: Trans-SID), ich persönlich mag sie aber nicht und rate auch Anderen eher dazu, darauf lieber zu verzichten und nur auf eine saubere Cookie-Lösung zu bauen. Wenn die Nutzer da nicht mitspeilen, können sie die Angebote eben nicht benutzen. Schwund ist überall :-)
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg