Happy: Problem mit .htaccess Login

Hallo zusammen!

Falls das jetzt ne ziemlich noobische Frage ist bzw. ich einfach zu doof gerade bin die Lösung zu sehen, entschuldige ich mich schonmal :D

Ich hab folgendes Problem:

Ich habe für einen bestimmten Bereich einen .htaccess Login eingefügt. Wenn ich beim Login auf abbrechen klicke zeigt er mir die 401 an, wenn ich dann im Browser auf PageBack und wieder auf PageForward klicke bin ich auf der "geschüzten Seite" ohne irgedetwas eingeben zu müssen. Ich hab jetzt echt lange gegoogelt(vill auch einfach das falsche) und nichts dazu gefunden. Wenn jemand ne Idee hat wäre ich dankbar!

gruß Happy

  1. @@Happy

    Ich habe für einen bestimmten Bereich einen .htaccess Login eingefügt.

    HTTP-Auth ist kein Login. Der Martin hat den Unterschied mal anschaulich beschrieben.

    Wenn ich beim Login auf abbrechen klicke zeigt er mir die 401 an, wenn ich dann im Browser auf PageBack und wieder auf PageForward klicke bin ich auf der "geschüzten Seite" ohne irgedetwas eingeben zu müssen.

    Das kann ich nicht nachvollziehen.

    Hattest du bei der betreffenden Seite vielleicht schon mal „deinen Ausweis vorgezeigt“?

    LLAP 🖖

    --
    Ist diese Antwort anstößig? Dann könnte sie nützlich sein.
    1. @@Happy

      Ich habe für einen bestimmten Bereich einen .htaccess Login eingefügt.

      HTTP-Auth ist kein Login. Der Martin hat den Unterschied mal anschaulich beschrieben.

      Wenn ich beim Login auf abbrechen klicke zeigt er mir die 401 an, wenn ich dann im Browser auf PageBack und wieder auf PageForward klicke bin ich auf der "geschüzten Seite" ohne irgedetwas eingeben zu müssen.

      Das kann ich nicht nachvollziehen.

      Hattest du bei der betreffenden Seite vielleicht schon mal „deinen Ausweis vorgezeigt“?

      Ja klar angemeldet hatte ich mich schonmal. Aber dann Browser komplett geschlossen, Seite neu aufgerufen auf den link zum "Berreich" geklickt, Login geht auf --> Spiel wie vorher beschrieben und ich seh die "geschüzten Seite". Ich verstehs einfach nicht, das ist der totale Wiederspruch was die htaccess doch eigentlich bringen soll. Den Bereich ohne richtige Zugangsdaten nicht anzeigen...

      Nachdem ich auf Abrrechen klicke zeigt er mir als Url den Pfad an zu dem ich will, wenn das Login erfolgreich war, allerdings statt dem gewollten Inhalt, mit 401 Authorization Required... Wenn ich dann zurück und vor klicke, sehe ich die Seite richtig. Der Fehler fängt doch schon da an, das nach Abbrechen auf die Url der geschützeten Seite gewechselt wird oder nicht?

      1. Moin!

        Der Fehler fängt doch schon da an, das nach Abbrechen auf die Url der geschützeten Seite gewechselt wird oder nicht?

        So lange die 401er Fehlermeldung kommt nicht. Den Rest verdankst Du womöglich dem Cache des Browsers oder gar eines Proxys. Drum prüfe, welche Header gesendet werden.

        Jörg Reinholz

      2. Hallo,

        Wenn ich beim Login auf abbrechen klicke zeigt er mir die 401 an, wenn ich dann im Browser auf PageBack und wieder auf PageForward klicke bin ich auf der "geschüzten Seite" ohne irgedetwas eingeben zu müssen.

        sollte nicht so sein, kann aber aufgrund der däml^W ungünstigen Defaulteinstellungen vieler Browser passieren. Die holen nämlich beim Vor- oder Zurück-Navigieren den gewünschten Inhalt bevorzugt aus dem Browser-Cache, ohne vorher überhaupt nochmal beim Server anzufragen.

        Ja klar angemeldet hatte ich mich schonmal.

        Das ist dann wohl des Lösels Rätsung. Und dann ist es ja auch kein Sicherheitsproblem mehr, dass du die Inhalte ohne erneute Authentifizierung zu sehen kriegst. Die Berechtigung hast du ja vorher schon einmal nachgewiesen.

        Aber dann Browser komplett geschlossen

        Aber den Cache nicht gelöscht, nehme ich mal an.

        Nachdem ich auf Abrrechen klicke zeigt er mir als Url den Pfad an zu dem ich will, wenn das Login erfolgreich war, allerdings statt dem gewollten Inhalt, mit 401 Authorization Required...

        Das ist soweit korrekt.

        Wenn ich dann zurück und vor klicke, sehe ich die Seite richtig.

        Und das ist bei vernünftiger Browser-Konfiguration nicht mehr der Fall.

        Der Fehler fängt doch schon da an, das nach Abbrechen auf die Url der geschützeten Seite gewechselt wird oder nicht?

        Nein, das ist völlig richtig. Damit ist es auch möglich, dass nicht authentifizierte Nutzer einen alternativen Inhalt sehen, was für den einen oder anderen Fall sinnvoll sein mag.

        So long,
         Martin

        1. Wenn ich beim Login auf abbrechen klicke zeigt er mir die 401 an, wenn ich dann im Browser auf PageBack und wieder auf PageForward klicke bin ich auf der "geschüzten Seite" ohne irgedetwas eingeben zu müssen.

          sollte nicht so sein, kann aber aufgrund der däml^W ungünstigen Defaulteinstellungen vieler Browser passieren. Die holen nämlich beim Vor- oder Zurück-Navigieren den gewünschten Inhalt bevorzugt aus dem Browser-Cache, ohne vorher überhaupt nochmal beim Server anzufragen.

          Aber dann Browser komplett geschlossen

          Aber den Cache nicht gelöscht, nehme ich mal an.

          So long,
           Martin

          Ahhh es lag tatsächlich am Cache!! Dachte eigentlich ich hätte das getestet:D Ich schiebs mal auf kurzzeitige geistige Verwirrung :P

          VIELEN DANK an euch 3 für die schnelle Hilfe!

    2. gudn tach!

      Ich habe für einen bestimmten Bereich einen .htaccess Login eingefügt.

      HTTP-Auth ist kein Login. Der Martin hat den Unterschied mal anschaulich beschrieben.

      das ist zunaechst mal seine persoenliche und anscheinend auch deine sichtweise. ob die sich jedoch mit der sichtweise der meisten user bzw. der fachwelt deckt, ist fraglich.

      gemeinhin wird unter login eher etwas verstanden, was z.b. auf oxforddictionaries.com folgendermassen beschrieben wird: "Go through the procedures to begin use of a computer, database, or system." quelle: oxforddictionaries.com

      aus fachlicher sicht hoert sich's vielleicht komplizierter an, ist aber im grunde nichts anderes: "A login, logging in or logging on is the entering of identifier information into a system by a user in order to access that system (e.g., a computer or a website)." quelle: linfo.org

      und auch speziell zu per .htaccess geschuetzten seiten findet sich in der fachwelt haeufig die bezeichnung als login: askapache.com, htaccesstools.com, ...

      iow: ich glaube, dass eure meinung (auch fachlich) eine minderheitenmeinung ist. die sei euch unbenommen. allerdings solltet ihr sie meiner meinung nach nicht als wahrheit darstellen.

      prost seth

      1. Hallo,

        HTTP-Auth ist kein Login. Der Martin hat den Unterschied mal anschaulich beschrieben.

        das ist zunaechst mal seine persoenliche und anscheinend auch deine sichtweise.

        das ist keine Sichtweise; es ist der Versuch, zwei technisch unterschiedliche Verfahren anschaulich zu erklären, so dass der Unterschied deutlich wird.

        ob die sich jedoch mit der sichtweise der meisten user bzw. der fachwelt deckt, ist fraglich.

        Keine Frage, aus der Sicht der Nutzer und auch aus der Sicht der Betreiber eines Webangebots ist der Unterschied unbedeutend bzw. nicht feststellbar. Für denjenigen, der ein System entwerfen, einrichten und technisch betreuen muss, ist es jedoch ein sehr wichtiger Unterschied.

        gemeinhin wird unter login eher etwas verstanden, was z.b. auf oxforddictionaries.com folgendermassen beschrieben wird: "Go through the procedures to begin use of a computer, database, or system." quelle: oxforddictionaries.com

        aus fachlicher sicht hoert sich's vielleicht komplizierter an, ist aber im grunde nichts anderes

        Ja, der Effekt ist nach außen hin etwa derselbe. Aber der wichtige Unterschied ist eben, dass im einen Fall die Information darüber, dass ein Nutzer "eingeloggt" ist, serverseitig gespeichert wird (z.B. als Datensatz in einer Session oder mit einem ähnlichem Mechanismus), im anderen Fall rein clientseitig.
        Und ich finde schon, dass das ein wichtiger Unterschied ist, gerade wenn es um Nebenwirkungen und what-if-Betrachtungen geht.

        iow: ich glaube, dass eure meinung (auch fachlich) eine minderheitenmeinung ist. die sei euch unbenommen. allerdings solltet ihr sie meiner meinung nach nicht als wahrheit darstellen.

        Es geht nicht um die Meinung als solche, auch nicht um die konkreten Bezeichnungen - sondern darum, sich über den Unterschied bewusst zu sein, wenn man irgendein Verfahren der Zugangskontrolle auswählt und einsetzt.

        Ciao,
         Martin

        1. gudn tach!

          Es geht nicht um die Meinung als solche, auch nicht um die konkreten Bezeichnungen - sondern darum, sich über den Unterschied bewusst zu sein, wenn man irgendein Verfahren der Zugangskontrolle auswählt und einsetzt.

          ok, wenn es wirklich nur darum geht, dann waere es doch geschickter, ein vokabular zu benutzen, dass kompatibel mit dem bereits bestehenden ist -- falls dies moeglich ist. und dass es moeglich ist, hast du in deiner antwort selbst gezeigt, indem du den unterschied praegnant als clientseitig vs. serverseitig beschriebst.

          die aussage "das ist kein login!" wuerde nur weiterhelfen, wenn eine unkonventionelle definition benutzt wurde. dass im falle von .htaccess aber durchaus vom "login" die rede ist, willst du ja nicht bestreiten. insofern ist eine aussage a la "das ist kein login!" (wie sie hier aehnlich von Gunnar kam) eher nicht hilfreich.

          wenn es im kontext auf den besagten unterschied ankommt, dann waere es doch besser sowas zu sagen wie "die anmeldeinformationen werden clientseitig gespeichert, nicht serverseitig. [ist dir das bewusst?]", denn das birgt auch weniger verwirrungspotenzial als die eigentlich gaengige definition des fragestellers abzulehnen, oder nicht?

          gruss seth

      2. prost

        Also, mein lieber Herrr prost, ich denke auch, der Begriff "Login" sollte unabhängie von der dahinterliegenden Technik sein, auth. basic oder was Anderes, egal.

        seth

        Was?

        1. gudn tach!

          seth

          Was?

          ich.

          prost

          seth

        2. gudn tach!

          prost

          Also, mein lieber Herrr prost, ich denke auch, der Begriff "Login" sollte unabhängie von der dahinterliegenden Technik sein, auth. basic oder was Anderes, egal.

          seth

          Was?

          ich.

          prost

          seth

      3. @@seth

        HTTP-Auth ist kein Login. Der Martin hat den Unterschied mal anschaulich beschrieben.

        das ist zunaechst mal seine persoenliche und anscheinend auch deine sichtweise. ob die sich jedoch mit der sichtweise der meisten user bzw. der fachwelt deckt, ist fraglich.

        Das ist mir bewusst. Zumindest, was die Sichtweiswe der meisten Nutzer angeht.

        Die Fachwelt sollte da schon unterscheiden können, besonders in Fällen wie diesem, wo es genau auf diesen Unterschied ankommt. Wo kein Logout, da kein Login.

        LLAP 🖖

        --
        Ist diese Antwort anstößig? Dann könnte sie nützlich sein.
        1. gudn tach!

          das ist zunaechst mal seine persoenliche und anscheinend auch deine sichtweise. ob die sich jedoch mit der sichtweise der meisten user bzw. der fachwelt deckt, ist fraglich.

          Die Fachwelt sollte da schon unterscheiden können, besonders in Fällen wie diesem, wo es genau auf diesen Unterschied ankommt. Wo kein Logout, da kein Login.

          die fachwelt kennt den unterschied zwischen clientseitiger und serverseitiger speicherung. der definitorische unterschied, den du jedoch machst, ist in der fachwelt so vermutlich nicht verbreitet und fuehrt deswegen allenfalls zu verwirrung, weil dort das wort "login" allgemeiner gefasst wird.

          oder kannst du belege dafuer angeben, dass laut fachwelt bei einem login die credentials nicht beim client gespeichert werden duerfen?

          prost

          seth