einsiedler: Erläuterung zu: Einer Framework-basierten Lösung wegen einem Log-In-Bereich

0 39

Erläuterung zu: Einer Framework-basierten Lösung wegen einem Log-In-Bereich

  1. 2
    1. 0
      1. 2
        1. 0
          1. 3
            1. 1
              1. 3
          2. -1
          3. -2
        2. 1
          1. 0
      2. 0
        1. 1
          1. -1
            1. 2
            2. -2
              1. 1
                1. 0
                  1. 0
          2. 0
            1. 1
              1. 0
        2. 1
          1. 0
            1. -1
          2. 0
            1. 0
  2. 0
    1. 0
    2. 1
      1. 0
        1. 0
  3. 0
    1. 0
      1. 0
    2. 0
      1. 1
        1. 1

Liebe Forumer, was bedeutet: Eine Framework-basierte Lösung in Hinsicht dem Log-In-Bereich, wer kennt einen guten Link wo mir das erläutert wird oder wer könnte es mir kurz erläutern? Das klingt alles so kompliziert.

LG der misanthrop

  1. Hello Tassilo,

    hast Du schon mal Berührung mit NDS (Novel Netware) oder mit Active Directory (Microsoft) gehabt?

    Skizzierung:

    Da werden die Objekte des Baumes mit Zugriffsrechten versehen und außerdem alle Funktionen, die in diesen Objekten stecken, ebenfalls. Das bedeutet also, dass die eine Rechteart für jeden User regelt, ob er das Objekt sehen, ändern, löschen, verschieben darf und die andere Rechteart regelt für jeden User oder auch andere Objekte, ob sie die Programme im Objekt ausführen dürfen.

    Ein Framework bzw. CMS auf der Basis dieses Frameworks regelt u. a. diese Aufgaben für Dich. Es stellt dir also (meistens) auch eine umfangreiche Benutzer- und Rechteverwaltung zur Verfügung.

    Man kann das auch einfacher gestalten (z. B. Basic Auth beim Apache), dann stößt man aber relativ schnell an Grenzen der Machbarkeit oder die Übersichtlichkeit geht verloren.

    Mehr darüber bei Bedarf. Mein Tele klingelt...

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
    1. Aaaahhh, DANKE! Jetzt kann ich mir alles ein wenig besser vorstellen.

      Das ist also so eine Art .htaccess-Datei Schutz, wo man nur das sehen darf der zugriffsberechtigt ist.

      Derjenige der mir das Login-System bastelt möchte das so machen, wo bei ich mir eher eine individuellere Lösung vorstelle. Ich weiß nämlich gar nicht wie das mit meinem html das soweit schon vorgefertigt ist, funktionieren soll. Da muss ich wohl alles umstellen, was ich eigentlich nicht möchte. Oder ist das die sicherste Lösung?

      der misanthrop

      1. Hello,

        Aaaahhh, DANKE! Jetzt kann ich mir alles ein wenig besser vorstellen.

        Das ist also so eine Art .htaccess-Datei Schutz, wo man nur das sehen darf der zugriffsberechtigt ist.

        Derjenige der mir das Login-System bastelt möchte das so machen, wo bei ich mir eher eine individuellere Lösung vorstelle. Ich weiß nämlich gar nicht wie das mit meinem html das soweit schon vorgefertigt ist, funktionieren soll. Da muss ich wohl alles umstellen, was ich eigentlich nicht möchte. Oder ist das die sicherste Lösung?

        Der "htaccess-Schutz" ist die einfachste Lösung, den Zugriff auf Ressourcen zu regeln. Er setzt aber, um eine hinreichende Sicherheit zu gewährleisten, auch TLS (also HTTPs) voraus. Immer, wenn Passworte, Tokens (temporäre Zugriffsschlüssel), persönliche und oder empfindliche Daten transportiert werden sollen, sollte Verschlüsselung benutzt werden. Das schon mal vorab.

        Du solltest damit beginnen, dir ein großes Funktionsdiagramm zu malen. Zeichne alle Ressourcen (Objekte und Programme) ein, zeige wie sie miteinander verbunden sind, schreibe dazu, was sie machen, wer sie sehen, ändern, löschen, ..., darf.

        Wenn das noch auf ein Blatt A3 passt, kannst Du dir dein System auch selber programmieren. Das dauert sicherlich ein paar Wochen, aber es tut dann (hoffentlich) genau das, was Du brauchst.

        Glück Auf
        Tom vom Berg

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
        1. Ja, HTTPs habe ich , ich benutze Let's Encrypt auch für meine Webmailadressen. Das ist schon mal gut.

          Auf die Gefahr hin das es lächerlich ist, aber ich habe schon mal dieses Beispiel von (https://www.)php-einfach.de/experte/php-codebeispiele/loginscript/ für eine kleines DEMO benutzt und es schien mir einfach. Dort weiß ich wo das PHP im Kopf jeder Unterseite hinkommt, gefolgt von der entsprechenden html - Seite.

          Das kann ich mir, wenn ich FRAMEWORK höre nicht so plastisch vorstellen, wo eventuell mein html eingesetzt wird.

          Ich möchte eigentlich nur das Login-script nicht eine komplette Website. Deshalb kann ich mit einem Framework villeicht! nichts anfangen.

          Hmmm...

          LG der misanthrop

          1. Hallo,

            da dein "Programmierer" dir nur ein htaccess anbieten kann und dir wahrscheinlich vieles, vor allem in deinem andern Thread, als "böhmische Dörfer" vorkommen wird, empfehle ich dir zunächst mal Matthias Tipp auszuprobieren. Es sei denn, du hast noch ein paar Monate Zeit um zumindest die Basics zu lernen und darauf aufzubauen.

            lg.

            1. Hello,

              da dein "Programmierer" dir nur ein htaccess anbieten kann und dir wahrscheinlich vieles, vor allem in deinem andern Thread, als "böhmische Dörfer" vorkommen wird, empfehle ich dir zunächst mal Matthias Tipp auszuprobieren. Es sei denn, du hast noch ein paar Monate Zeit um zumindest die Basics zu lernen und darauf aufzubauen.

              Ich habe da speziell bei Wordpress und ähnlichen Systemen durchaus Bedenken, was die Sicherheit des Servers betrifft. MMn ist die "Installation" dieser Systeme viel zu einfach (im doppeldeutigen Sinne). Und wie Matthias schon schrieb, installiert er Plug Ins von wordpress auch nur mit Vorsicht.

              Man kann Matthias durchaus einige Expertise unterstellen. Deshalb ist sein Hinweis auf die Vorsicht bei der Installation durchaus Ernst zu nehmen.

              Anders sieht das aus, wenn man Wordpress über die Administrationstools eines (größeren) Providers aktiviert. Die haben dann meistens schon alle Fixes montiert und stellen nur geprüfte Plug Ins zur Verfügung.

              Jedenfalls ist "Installation" und sichere Einrichtung nicht dasselbe.

              Glück Auf
              Tom vom Berg

              --
              Es gibt nichts Gutes, außer man tut es!
              Das Leben selbst ist der Sinn.
              1. Hallo,

                Und wie Matthias schon schrieb, installiert er Plug Ins von wordpress auch nur mit Vorsicht.

                so sollte man das richtigerweise sehen. Keine Plugins nur zum Spaß, sondern nur wenn unbedingt benötigt und auch dann nur mit ausgiebiger Recherche. Schon schlimm genug, dass auch viele Handy-Apps bedenkenlos installiert werden.

                Anders sieht das aus, wenn man Wordpress über die Administrationstools eines (größeren) Providers aktiviert. Die haben dann meistens schon alle Fixes montiert und stellen nur geprüfte Plug Ins zur Verfügung.

                Ja und nein. Die meisten Provider bieten schnelle, vorgefertigte Ein-Klick-Installationen an und versuchen Schwachstellen klein zu halten. Daher hast du natürlich Recht, auf jeden Fall die richtige Herangehensweise. Die Plug-Ins allerdings werden nicht geprüft bzw. gesperrt, wäre auch nicht komfortabel umsetzbar, da täglich Neue erscheinen und die eigene Freiheit stark eingeschränkt wäre. Hier muss der User selbst Vorsicht walten lassen, siehe oben.

                lg.

          2. Ein Framework sorgt dafür daß eine Police vom Code vollständig getrennt ist. Ein Programmierer der Anwendungen innerhalb eines FW entwickelt muss sich also um Berechtigungen gar nicht mehr kümmern. MFG

          3. Ja, HTTPs habe ich , ich benutze Let's Encrypt auch für meine Webmailadressen. Das ist schon mal gut.

            Auf die Gefahr hin das es lächerlich ist, aber ich habe schon mal dieses Beispiel von (https://www.)php-einfach.de/experte/php-codebeispiele/loginscript/ für eine kleines DEMO benutzt und es schien mir einfach. Dort weiß ich wo das PHP im Kopf jeder Unterseite hinkommt, gefolgt von der entsprechenden html - Seite.

            Das kann ich mir, wenn ich FRAMEWORK höre nicht so plastisch vorstellen, wo eventuell mein html eingesetzt wird.

            Nun, ein FW sorgt ja dafür, daß der PHP Code zur Feststellung ob ein Login vorliegt, eben nicht auf jeder Unterseite eingebaut werden muss.

            Ich möchte eigentlich nur das Login-script nicht eine komplette Website. Deshalb kann ich mit einem Framework villeicht! nichts anfangen.

            Es kommt darauf an diese Idee zu verstehen. MFG

        2. Hallo TS,

          Der "htaccess-Schutz" ist die einfachste Lösung, den Zugriff auf Ressourcen zu regeln. Er setzt aber, um eine hinreichende Sicherheit zu gewährleisten, auch TLS (also HTTPs) voraus. Immer, wenn Passworte, Tokens (temporäre Zugriffsschlüssel), persönliche und oder empfindliche Daten transportiert werden sollen, sollte Verschlüsselung benutzt werden.

          Nur nebenbei: das gilt auch für Sessions. Sonst schnappt sich ein Angreifer einfach das Session-Cookie.

          LG,
          CK

          1. Hello,

            Hallo TS,

            Der "htaccess-Schutz" ist die einfachste Lösung, den Zugriff auf Ressourcen zu regeln. Er setzt aber, um eine hinreichende Sicherheit zu gewährleisten, auch TLS (also HTTPs) voraus. Immer, wenn Passworte, Tokens (temporäre Zugriffsschlüssel), persönliche und oder empfindliche Daten transportiert werden sollen, sollte Verschlüsselung benutzt werden.

            Nur nebenbei: das gilt auch für Sessions. Sonst schnappt sich ein Angreifer einfach das Session-Cookie.

            Vielen Dank für die Ergänzung. Das meinte ich mit Token.
            War vielleicht nicht so klar ;-)

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
      2. .htaccess ist Serverkonfiguration. Der Sinn eines Framework ist jedoch, die Berechtigungen über eine eigene Police verwalten zu können so daß hierzu ein Eingriff in die Serverkonfiguration nicht mehr notwendig ist. MFG

        1. Hello,

          .htaccess ist Serverkonfiguration. Der Sinn eines Framework ist jedoch, die Berechtigungen über eine eigene Police verwalten zu können so daß hierzu ein Eingriff in die Serverkonfiguration nicht mehr notwendig ist.

          Ich würde es anders herum ausdrücken. Die Policies bereits auf Serverebene festzulegen, ist der Versuch, die Verwaltung für alle Ressourcen zentral zu halten und nicht in die Anwendungen eingreifen zu müssen.

          Auf jeden Fall sollten eigene Zugriffsschutzverfahren von Anwendungen bei Fehlversuchen auch immer eine Errormeldung im Serverlog hinterlassen, damit z.B. fail2ban und ähnliche Werkzeuge auch weiter greifen können. Anderenfalls spricht man (ich zumindest) von "spreaded control". Das ist für die Administration durchaus lästig, wenn man immer mehrere Errorlogs (sofern überhaupt vorhanden) im Auge behalten muss.

          Ein "Loginsystem" besteht also mindestens aus

          • Benutzerverwaltung (mMn mit Klarnamen- und Anschriftserfassung)
          • Geschäftsregeln für den Zugriffsschutz
          • Authentifizierungssystem
          • Zugriffskontrolle (Authorisiering)
          • Ggf. Formular- und Workflowverwaltung
          • Historie
          • Errorlogging (fehlgeschlagene Angriffs- und Zugriffsversuche)
          • umfangreicher Datenschutzbelehrung lt. DSGVO zu Obigem

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
          1. Hello,

            .htaccess ist Serverkonfiguration. Der Sinn eines Framework ist jedoch, die Berechtigungen über eine eigene Police verwalten zu können so daß hierzu ein Eingriff in die Serverkonfiguration nicht mehr notwendig ist.

            Ich würde es anders herum ausdrücken. Die Policies bereits auf Serverebene festzulegen, ist der Versuch, die Verwaltung für alle Ressourcen zentral zu halten und nicht in die Anwendungen eingreifen zu müssen.

            Das hat aber dann mit einem Framework nichts mehr zu tun. Und geht auch an der ursprünglichen Frage vorbei: Die Frage war frameworkbasiert, nicht serverbasiert.

            1. Liebe Emil,

              .htaccess ist Serverkonfiguration. Der Sinn eines Framework ist jedoch, die Berechtigungen über eine eigene Police verwalten zu können so daß hierzu ein Eingriff in die Serverkonfiguration nicht mehr notwendig ist.

              Du meinst wohl Policy?

              Ich würde es anders herum ausdrücken. Die Policies bereits auf Serverebene festzulegen, ist der Versuch, die Verwaltung für alle Ressourcen zentral zu halten und nicht in die Anwendungen eingreifen zu müssen.

              Das hat aber dann mit einem Framework nichts mehr zu tun. Und geht auch an der ursprünglichen Frage vorbei: Die Frage war frameworkbasiert, nicht serverbasiert.

              Dieser Thread handelt doch von Zugriffsschutzverfahren. Da gehört es dann auch dazu, dass man auch nach links und rechts schaut. Wenn deine Kritik also bestenfalls darin besteht, Tom zu reglementieren, was er zu schreiben hat, dann verkneif sie dir besser!

              Spirituelle Grüße
              Robert

              --
              Möge der Forumsgeist ewig leben!
            2. Hello,

              .htaccess ist Serverkonfiguration. Der Sinn eines Framework ist jedoch, die Berechtigungen über eine eigene Police verwalten zu können so daß hierzu ein Eingriff in die Serverkonfiguration nicht mehr notwendig ist.

              Ich würde es anders herum ausdrücken. Die Policies bereits auf Serverebene festzulegen, ist der Versuch, die Verwaltung für alle Ressourcen zentral zu halten und nicht in die Anwendungen eingreifen zu müssen.

              Das hat aber dann mit einem Framework nichts mehr zu tun. Und geht auch an der ursprünglichen Frage vorbei: Die Frage war frameworkbasiert, nicht serverbasiert.

              PS: Um das Loggen von Verletzungen der Policy kümmert sich bei einer frameworkbasierenden Lösung auch nicht der Server sondern das Framework. Das hat dann auch nichts im Serverlog zu suchen. MFG

              1. Hello,

                PS: Um das Loggen von Verletzungen der Policy kümmert sich bei einer frameworkbasierenden Lösung auch nicht der Server sondern das Framework. Das hat dann auch nichts im Serverlog zu suchen.

                Genau!
                Die Framework-Lösung logged ihre Zugriffsschutzverletzungen usw.. Es ist aber wenig sinnvoll, wenn sie das nur proprietär und vielleicht noch gekapselt in einer eigenen Datenbank tut. Sie sollte auch im Server-Logverzeichnis einen Eintrag nach den allgemeinen Gepflogenheiten hinterlassen. Das kann dort durchaus in einer eigenen Datei sein. Dann muss die nur auch ein eigenes Chapter in z. B. fail2ban erhalten.

                Wenn man hingegen die Logeinträge im Apache-Errorlog unterbringt, werden sie automatisch mit behandelt (sofern etwas behandelt wird). Gerade diese Systeme mit der "einfachen Installation" sollten alles dafür tun, dass der SemiAdmin nicht zusätzlich in die Serveradministration eingreifen muss, was er zudem auch gar nicht darf!

                Das hat nämlich Auswirkungen auf mehrere Systemprogramme (Beispiele):

                • logrotate
                • fail2ban
                • ...

                Glück Auf
                Tom vom Berg

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
                1. Liebe Tom,

                  PS: Um das Loggen von Verletzungen der Policy kümmert sich bei einer frameworkbasierenden Lösung auch nicht der Server sondern das Framework. Das hat dann auch nichts im Serverlog zu suchen.

                  Genau!
                  Die Framework-Lösung logged ihre Zugriffsschutzverletzungen usw.. Es ist aber wenig sinnvoll, wenn sie das nur proprietär und vielleicht noch gekapselt in einer eigenen Datenbank tut. Sie sollte auch im Server-Logverzeichnis einen Eintrag nach den allgemeinen Gepflogenheiten hinterlassen. Das kann dort durchaus in einer eigenen Datei sein. Dann muss die nur auch ein eigenes Chapter in z. B. fail2ban erhalten.

                  Wenn man hingegen die Logeinträge im Apache-Errorlog unterbringt, werden sie automatisch mit behandelt (sofern etwas behandelt wird). Gerade diese Systeme mit der "einfachen Installation" sollten alles dafür tun, dass der SemiAdmin nicht zusätzlich in die Serveradministration eingreifen muss, was er zudem auch gar nicht darf!

                  Das hat nämlich Auswirkungen auf mehrere Systemprogramme (Beispiele):

                  • logrotate
                  • fail2ban
                  • ...

                  Das ist plausibel.
                  Und es ist schon wieder ein Absatz für deinen Artikel. Ich werde Dich jetzt trietzen ;-P

                  Und ich logge mit...
                  Mal sehen, was die Fachleute dazu meinen. Das Ergebnis wird dann jeweils aufgenommen in mein Log für den Artikel.

                  Spirituelle Grüße
                  Dein Robert

                  --
                  Möge der Forumsgeist ewig leben!
                  1. Hello,

                    ich hab' Dir eine Mail geschickt. Schau bitte nach :-|

                    Glück Auf
                    Tom vom Berg

                    --
                    Es gibt nichts Gutes, außer man tut es!
                    Das Leben selbst ist der Sinn.
          2. Lieber Tom,

            Ich würde es anders herum ausdrücken. Die Policies bereits auf Serverebene festzulegen, ist der Versuch, die Verwaltung für alle Ressourcen zentral zu halten und nicht in die Anwendungen eingreifen zu müssen.

            Auf jeden Fall sollten eigene Zugriffsschutzverfahren von Anwendungen bei Fehlversuchen auch immer eine Errormeldung im Serverlog hinterlassen, damit z.B. fail2ban und ähnliche Werkzeuge auch weiter greifen können. Anderenfalls spricht man (ich zumindest) von "spreaded control". Das ist für die Administration durchaus lästig, wenn man immer mehrere Errorlogs (sofern überhaupt vorhanden) im Auge behalten muss.

            Ein "Loginsystem" besteht also mindestens aus

            • Benutzerverwaltung (mMn mit Klarnamen- und Anschriftserfassung)
            • Geschäftsregeln für den Zugriffsschutz
            • Authentifizierungssystem
            • Zugriffskontrolle (Authorisiering)
            • Ggf. Formular- und Workflowverwaltung
            • Historie
            • Errorlogging (fehlgeschlagene Angriffs- und Zugriffsversuche)
            • umfangreicher Datenschutzbelehrung lt. DSGVO zu Obigem

            Na, das ist doch schon mal ein Anfang für deinen Artikel. Wolltest Du doch schon letztes Jahr schreiben, oder? :-P

            Spirituelle Grüße
            Dein Robert

            --
            Möge der Forumsgeist ewig leben!
            1. Hello Rob,

              Ein "Loginsystem" besteht also mindestens aus

              • Benutzerverwaltung (mMn mit Klarnamen- und Anschriftserfassung)
              • Geschäftsregeln für den Zugriffsschutz
              • Authentifizierungssystem
              • Zugriffskontrolle (Authorisiering)
              • Ggf. Formular- und Workflowverwaltung
              • Historie
              • Errorlogging (fehlgeschlagene Angriffs- und Zugriffsversuche)
              • umfangreicher Datenschutzbelehrung lt. DSGVO zu Obigem

              Na, das ist doch schon mal ein Anfang für deinen Artikel. Wolltest Du doch schon letztes Jahr schreiben, oder? :-P

              ☆☆rarara☆☆
              Das kriegste zurück ;-)

              Glück Auf
              Tom vom Berg

              --
              Es gibt nichts Gutes, außer man tut es!
              Das Leben selbst ist der Sinn.
              1. Lieber Tom,

                Na, das ist doch schon mal ein Anfang für deinen Artikel. Wolltest Du doch schon letztes Jahr schreiben, oder? :-P

                ☆☆rarara☆☆
                Das kriegste zurück ;-)

                Bitte entschuldige. Ich drängele nicht weiter. Du warst nur gerade so gut im Fluss...

                Spirituelle Grüße
                Dein Robert

                --
                Möge der Forumsgeist ewig leben!
        2. .htaccess ist Serverkonfiguration. Der Sinn eines Framework ist jedoch, die Berechtigungen über eine eigene Police verwalten zu können so daß hierzu ein Eingriff in die Serverkonfiguration nicht mehr notwendig ist. MFG

          Und dann wäre noch ein Unterschied: .htaccess (serverbasierende Policy) regelt den Zugriff auf URLs. Frameworbasierend jedoch bezieht sich eine Zugriffskontrolle auf den Inhalt.

          1. Ja, habe ich verstanden, ich wollte nur ein Beispiel welches ich kenne und schon mal mit gearbeitet habe, hier anbringen, wie ich es mir eventuell vorzustellen habe.

            LG der misanthrop

            1. Ok, nehmen wir mal an, es gibt eine PHP-Klasse die Dateien ausliefert. Nun, wenn der Dateiname nicht in der Klasse definiert ist, kann er ja per Konfiguation zugewiesen werden. Das ermöglicht dann die Trennung von Inhalt und URL per Konfiguration:

              [/foo.html]
              class=HTMLFile
              file=foo
              
              [/bar.html]
              class=HTMLFile
              file=bar
              

              Jetzt könnte man für /bar.html ein weiteres Kofigurations-Attribut einführen:

              [/bar.html]
              auth=manager 
              class=HTMLFile
              file=bar
              

              Wobei manager gleichzeitig der Name der Datei ist, in denen die Benutzernamen+Passworte derjenigen Benutzer stehen die der Gruppe manager angehören. MFG

          2. Hello,

            .htaccess ist Serverkonfiguration. Der Sinn eines Framework ist jedoch, die Berechtigungen über eine eigene Police verwalten zu können so daß hierzu ein Eingriff in die Serverkonfiguration nicht mehr notwendig ist. MFG

            Und dann wäre noch ein Unterschied: .htaccess (serverbasierende Policy) regelt den Zugriff auf URLs. Frameworbasierend jedoch bezieht sich eine Zugriffskontrolle auf den Inhalt.

            Das ist ein guter Hinweis. .htaccess basic auth kann zwar mehr, als URis zu kontrollieren, aber von Haus aus nicht wirklich in die Applikation hineinschauen.

            1P4Y

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
            1. Es ist ja auch der Sinn eines Framework bzw. dessen Konfiguration, URLs an Klassen (CODE) zu binden: Routing. Somit kann man eine Zugriffkontrolle schon über die Anwendungsklasse regeln, zweckmäßiger ist es jedoch, dies in der Anwendungsklasse nur vorzusehen um dann nur noch per Konfiguration die Nutzer bzw. -Gruppe zuweisen zu müssen.

              Idealerweise jedoch wird die ganze Policy vom Anwendungscode getrennt. Warum auch sollte sich ein Anwendungsentwickler mit Berechtigungen befassen müssen (Separation of concerns). MFG

  2. Es mag kompliziert klingen, ist aber letztendlich ganz einfach: Ein einzelnes Loginscript macht keinen Sinn. Von daher bietet sich ein Framework an was was dafür sorgt daß Anwendungen die eines Login befürfen auch nur in diesem Loginbereich funktionieren. MFG

    1. Aloha ;)

      Es mag kompliziert klingen, ist aber letztendlich ganz einfach: Ein einzelnes Loginscript macht keinen Sinn. Von daher bietet sich ein Framework an was was dafür sorgt daß Anwendungen die eines Login befürfen auch nur in diesem Loginbereich funktionieren. MFG

      Feststellung: Diese Erläuterung erläutert nichts.

      Grüße,

      RIDER

      --
      Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
      # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
    2. Lieber Rolf (denke ich),

      Es mag kompliziert klingen, ist aber letztendlich ganz einfach: Ein einzelnes Loginscript macht keinen Sinn. Von daher bietet sich ein Framework an was was dafür sorgt daß Anwendungen die eines Login befürfen auch nur in diesem Loginbereich funktionieren.

      Bei PHP reichen ein einfaches Loginscript und ein intelligentes Kontrollscript als Prepend-File, sowie ein Redirect im Webserver aus, damit man kein File mehr ohne gültiges Login aufrufen kann. An den alten HTML-Files selber muss man nichts ändern.

      Ist das nun schon ein Framework?

      Spirituelle Grüße
      Robert

      --
      Möge der Forumsgeist ewig leben!
      1. Gute Frage! Hat jemand darauf eine Antwort? Der misanthrop

        1. Hallo einsiedler,

          nein, das ist kein Framework.

          Bis demnächst
          Matthias

          --
          Pantoffeltierchen haben keine Hobbys.
          ¯\_(ツ)_/¯
  3. Nabend liebe Forumer, schön anzusehen das mein Thread auch anderweitig Verwendung findet... ;o)

    Aber was haltet ihr davon?

    Zitat:

    ein Framework ist letztlich einfach nur eine Zusammenstellung von unterschiedlichen fertigen Komponenten, die eine gute Basis für eine Anwendung darstellen, viele Funktionen bereits automatisch mitbringen und generell einiges vereinfachen, sodass man selber weniger Arbeit bei der Entwicklung hat. Konkret hätte ich eben auf das Framework Laravel gesetzt. Das HTML wird dann üblicherweise in sogenannte Views eingefügt, welche für die Darstellung der Seite zuständig sind und von der Backend-Logik (z.B. für ein Login) abgekoppelt sind.

    Sollte ich mich damit anfreunden, wäre dies eine gute Lösung? was sagt ihr?

    LG der misanthrop

    1. Hallo einsiedler,

      du stehst offenbar mit jemanden über ein Angebot im Gespräch. Weiß derjenige, dass du die Unterhaltung hier im Forum fortsetzt? Es wäre ihm bzw. ihr ansonsten unfair gegenüber, wenn wir über ihr Angebot diskutieren, ohne sie auch mit einzubeziehen. Insbesondere wenn jemand einen negativen Kritikpunkt vorzubringen hätte, wäre das problematisch.

      Grundsätzlich ist es weit verbreitete Praxis, Anwendungen auf Frameworks wie Laravel aufzusetzen. Das spart Zeit und Entwicklungskosten, Ressourcen, die dann in neue Features und Qualitätssicherung reinvestiert werden können.

      Viele Grüße

      1. Daran habe ich jetzt nicht gedacht, wenn der Post nun gelöscht werden sollte dann ist es so.

        Aber nein es geht nur um das Grundsätzliche, ich kann mir unter einem Framework nichts vorstellen und derjenige bot mir an Laravel zu benutzen , ich kann nicht abschätzen ob es gut, sicher u.s.w. ist und ob es gängige Praxis ist! Es geht mir NICHT um die Verhandlung sondern mehr um dieses Laravel was er mir verkaufen möchte, also NICHT falsch verstehen. Ich kann mir bei bestem Willen nicht Vorstellen das so etwas für eine kleine private Homepage verwendet wird, vielmehr für große Foren, Shops villeicht etc., ich zeige nur ein Paar Bilder, Videos und etwas Begleittext, mehr nicht. Deshalb bin ich mir nicht sicher, (weil ich nichts davon kenne!) ob der Aufwand sich lohnt! Oder ob es eher kein Aufwand ist! Ich bin mir einfach total unschlüssig!

        Gruß der misanthrop

    2. Dein Zitat deckt sich ja im Wesentlichen mit meinen Ausführungen. Hast Du sie überhaupt gelesen?

      MFG

      1. Ja, habe ich. Trotz alledem, verstanden davon habe ich nichts.

        LG der misanthrop

        1. Servus @Einsiedler!

          Eine Framework-basierte Lösung in Hinsicht dem Log-In-Bereich, wer kennt einen guten Link wo mir das erläutert wird oder wer könnte es mir kurz erläutern?

          Das klingt alles so kompliziert.

          Dein Zitat deckt sich ja im Wesentlichen mit meinen Ausführungen. Hast Du sie überhaupt gelesen?

          Ja, habe ich. Trotz alledem, verstanden davon habe ich nichts.

          Ich versuch's noch mal neu - möglichst ohne name-dropping von Fachausdrücken.

          Du möchtest ein Login-Bereich haben, der den Zugang auf Seiten regelt. Einige der Poster sagen, dass sie genau so ein Script haben und du es Dir einbauen kannst. Andere sagen, dass Du dafür auch andere Elemente benötigst und diese ebenfalls einbauen musst.

          Jemand hat dir wohl den Begriff "Framework-basierte Lösung" gegeben. Im Wiki steht zu Framework,, dass dies ein Programmiergerüst ist, das auch schon die Struktur vorgibt. Bei einem solchen Framework musst du also die vorhandenen Komponenten verwenden, hast aber auch schon alles nötige beisammen. Die Qual der Wahl der Komponenten entfällt.

          Insofern ist auch ein CMS (Content Management System) ein Framework. Die Installation und Anpassung ist unterschiedlich schwierig, das System als solches wird bei kostenlosen CMS von einer Community gepflegt; bei kostenpflichtigen von Deinem WebDesigner.

          Es gibt immer wieder neue Sicherheitslücken und Angriffsmöglicheiten, deshalb ist es wichtig, dass solche Lücken zeitnah behoben werden. Ich habe keine Ahnung von Laraval, würde hier aber nach Updates und Aktualisierungen googeln.

          Herzliche Grüße

          Matthias Scharwies

          --
          "I don’t make typos. I make new words."