nicht angemeldetIch habe bei mir einen grossen LogIn Bereich , der nur mit gültigem passwd und username betreten werden kann . meine frage ist :
wie kann ich am besten den usernamen + passwort zwischen den einzelnen geschuetzten seiten am
einfachsten übertragen , ohne user die keine cookies zulassen zu vergraulen ?
bisher habe ich jeden neuen seitenaufruf im logIn bereich als formular deklariert und username + passwd via
post methode durch hidden-tags übertragen . das ist aber nicht gerade wenig aufwand ....
wäre klasse wenn mir jemand weiter helfen könnte ...
Ich habe bei mir einen grossen LogIn Bereich , der nur mit gültigem passwd und username betreten werden kann . meine frage ist :
wie kann ich am besten den usernamen + passwort zwischen den einzelnen geschuetzten seiten am
einfachsten übertragen , ohne user die keine cookies zulassen zu vergraulen ?bisher habe ich jeden neuen seitenaufruf im logIn bereich als formular deklariert und username + passwd via
post methode durch hidden-tags übertragen . das ist aber nicht gerade wenig aufwand ....wäre klasse wenn mir jemand weiter helfen könnte ...
kannst "session-id"s vergeben. bei jedem login eine (zufaellige) temporaere id vergeben und die dann per
kommandozeile in den links (also GET-methode) weitergeben...
die id muss dann nach einem bestimmtem timeout oder den aufruf einer logout-seite ungueltig gemacht
werden. ne gute idee waere auch noch als zusaetzlichen schutz zu der id die jeweilige client-ip zu
speichern und den zugriff mit dieser id auf diese ip zu beschraenken (musst aber eventuell dann
ueberlegen was bei leuten passiert, die ueber proxies auf deine seite zugreifen)
kannst mal schreiben ob das so geklappt hat, hab naemlich selbst vor ne seite zu machen, bei der ich das
dann brauch. :-) ist also nur theoretisches wissen von meiner seite aus. aber denke es sollte so gehen... :)
cu......... Joke
Hallo (<= nett nicht?)
habe ich Dein Problem richtig verstanden (die Antwort von Joke hat mich etwas verunsichert, klang so kompliziert ;-)))))
Zusammengefast: brauchst Du eine Möglichkeit, Wert (hier Username + Passwort) von einer Seite zur nächsten zu übertragen, ohne cokies oder "hidden fields" zu benutzen? Wenn das der Kern des Problems ist könnte http://www.teamone.de/selfaktuell/artikel/wertueb.htm Dir helfen. Wenn nicht, ist der Artikel auch so nett ;-)))))
Chräcker
Hallo (<= nett nicht?)
habe ich Dein Problem richtig verstanden (die Antwort von Joke hat mich etwas verunsichert, klang so kompliziert ;-)))))
Zusammengefast: brauchst Du eine Möglichkeit, Wert (hier Username + Passwort) von einer Seite zur nächsten zu übertragen, ohne cokies oder "hidden fields" zu benutzen? Wenn das der Kern des Problems ist könnte http://www.teamone.de/selfaktuell/artikel/wertueb.htm Dir helfen. Wenn nicht, ist der Artikel auch so nett ;-)))))
Chräcker
halloele (<== noch netter, nicht ?) :-)
hab den artikel jetzt nicht durchgelesen, nur ueberflogen, aber das langt um zu sehen, dass es um JS
geht. und das ist jawohl fuer dieses problem inakzeptabel.
das problem ist MEHRE seiten zu schuetzen ohne jeweils einen login davorzumachen. solange man auf
die anderen seiten mithilfe eines submit-buttons kommt ist das kein problem, man uebergibt einfach user
und pass in einem hidden input und das per POST damit das passwort nicht in der browser-eingabezeile
eventuell gecached wird. wenn du jetzt aber zwischen den seiten mit ganz normalen links navigieren willst,
koenntest du hoechsten name&pass als kommandozeile uebergeben und per GET auslesen, aber da
ergibt sich das problem, dass das passwort in der browsereingabezeile gespeichert werden koennte.
also vergibt man temporaere ids die ruhig irgendwo vom browser gecached werden koennen, weil sie
nach dem ausloggen ungueltig werden.
noch fragen ? :-)
cu... Joke
Auch Hallo,
hier habe ich vielleicht noch einen 3. Lösungsansatz für dich, wo du Username und Passwort überhaupt nicht übertragen musst.
Verwende doch einfach eine Serverseitige Userauthentifizierung, wie z.B. .htaccess
Damit kannst du einfach ein ganzes Verzeichnis schützen. Wenn der User ein Dokument (oder Script) aus dem Verzeichnis anfordert, wird er einmal um Username und Passwort gebeten und fertig. Danach kannst du den User immer mit $ENV{'REMOTE_USER'} abfragen.
Zum Gebrauch von .htaccess kann ich wie immer den Beitrag von Michael Schröpl empfehlen.
http://www.teamone.de/selfaktuell/artikel/schroepl01.htm
Gruß
Cruz
hi joke ,
danke für deine hilfe . du meinst also ich lege beim ersten login des users eine datei mit einem
bestimmten session - id namen an , und speichere dort username + passwort . dann brauch
ich nur via get - methode die session id von seite zu seite weiter zu geben ...
aber wie schuetze ich mich davor , dass nicht jemand in der get zeile einfach seine id nummer
verändert zbsp. von 110 auf 109 und dann die persoenlichen daten der vorangegangenen session
einsehen kann ?
p.s. wie ist der perl befehl zum löschen einer datei ?
hi joke ,
danke für deine hilfe . du meinst also ich lege beim ersten login des users eine datei mit einem
bestimmten session - id namen an , und speichere dort username + passwort . dann brauch
ich nur via get - methode die session id von seite zu seite weiter zu geben ...aber wie schuetze ich mich davor , dass nicht jemand in der get zeile einfach seine id nummer
verändert zbsp. von 110 auf 109 und dann die persoenlichen daten der vorangegangenen session
einsehen kann ?p.s. wie ist der perl befehl zum löschen einer datei ?
du hast es verstanden. :-)
das mit den ids: der user muss sich ausloggen und da loescht du die id-datei dann. wenn er sich nicht
ausloggt greift das timeout (die zeit des letzten zugriffs immer wieder in in die id-datei schreiben und beim
nexten zugriff vergleichen)
mach die ids aus einer zufaelligen kombination (zb 23idfh4458Ghni87gHJKiu7JKL) und der check mit der ip
sollte ein wenig schuetzen, das man auf daten von gleichzeitig eingeloggten usern zugreifen kann
der perl befehl zum dateiloeschen ist "unlink".
cu........ Joke
schau mal auf
http://www.maze.se/freeware/perl.html
