Guenter: Passwortschutz mit .htaccess

SELF-Forum

Passwortschutz mit .htaccess

Guenter
Informationen zu den Bewertungsregeln

Hallo,
mit .htaccess kann ich meine Site mit einem Passwortschutz versehen. Schön und gut, nur wenn der Besucher sich anmeldet, anschließend eine andere Seite (z.Bsp. http://www.yahoo.com) im selben Fenster aufruft, dann wieder zurück auf meine Seite geht, wird er nicht wieder zur Passwort-Eingabe aufgefordert. Genau das oder einen Timeout (z.Bsp. User war 60min nicht auf der Seite) möchte ich mit .htaccess erreichen. Hat hier jemand eine Idee? Besten Dank vorab.
Günter

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Passwortschutz mit .htaccess

    Andreas Homepage des Autors
    Informationen zu den Bewertungsregeln

    Hi Günter,

    bei

    http://www.washington.edu/webinfo/pubcookie/

    findest Du evtl. eine Lösung.

    Ciao
    Andreas

    Beitrag melden
    Informationen zu den Bewertungsregeln

  2. Passwortschutz mit .htaccess

    Benjamin Wilfing
    Informationen zu den Bewertungsregeln

    Hallo Günter,

    dann wieder zurück auf meine Seite geht, wird er nicht wieder zur Passwort-Eingabe aufgefordert.

    Das liegt daran, daß der eingegebene Benutzername sowie Passwort vom Browser gespeichert werden und somit weiterhin verwendet werden.

    Genau das oder einen Timeout (z.Bsp. User war 60min nicht auf der Seite) möchte ich mit .htaccess erreichen.

    Die einzige Möglichkeit, zu unterbinden, daß der User nicht erneut in den geschützten Bereich gelangt, ist, alle Browserinstanzen zu schließen. Das ließe sich z.B. mit JavaScript bewerkstelligen, allerdings ist das keine sichere Lösung.

    Was man noch machen könnte, ist, über ein serverseitiges Skript (z.B. Perl, PHP) einen HTTP-401-Header zum Browser senden zu lassen, wodurch der User erneut zur Passworteingabe aufgefordert würde. Gibt er dann kein Passwort ein, wird das bis jetzt gespeicherte gelöscht.

    Berichtigt mich bitte, wenn ich falsche Informationen verbreite ;-)

    Grüße aus Darmstadt,
      Benjamin

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Passwortschutz mit .htaccess

      Michael Schröpl
      Informationen zu den Bewertungsregeln

      Hi Benjamin,

      Genau das oder einen Timeout (z.Bsp. User war 60min nicht auf der
      Seite) möchte ich mit .htaccess erreichen.

      das erfordert ein Session-Konzept. Server Authentication leistet das nicht.

      Was man noch machen könnte, ist, über ein serverseitiges Skript
      (z.B. Perl, PHP) einen HTTP-401-Header zum Browser senden zu lassen,
      wodurch der User erneut zur Passworteingabe aufgefordert würde.
      Gibt er dann kein Passwort ein, wird das bis jetzt gespeicherte
      gelöscht.

      die Frage ist nur, wer dieses Skript aufrufen soll.

      Für die Realisierung eines expliziten Logout-Buttons würde ich ungefähr
      diesen Weg gehen, ja. Aber einen Timeout zu realisieren erfordert, daß
      serverseitig Informationen über den Zeitpunkt des letzten Zugriffs
      gespeichert wird _und_ irgendwer darauf automatisch reagieren kann.

      Der HTTP-Header, der bei Server Authentication übertragen wird, enthält
      keine Informationen über vorherige Zugriffe. Insofern ist serverseitig
      nur durch ein zusätzlich zu realisierendes Gedächtnis erkennbar, ob
      irgend eine zeitliche Frist überschritten wurde oder nicht.

      Berichtigt mich bitte, wenn ich falsche Informationen verbreite ;-)

      Nicht wirklich falsch - nur unzureichend für die konkrete Aufgaben-
      stellung. ;-)
      Server Authentication ist für Authentifizierung da - nicht mehr und
      nicht weniger. Ein Session-Konzept ist etwas Anderes - und das scheint
      hier gefordert zu sein.

      Viele Grüße
             Michael

      Beitrag melden
      Informationen zu den Bewertungsregeln