nicht angemeldet
Login Formular für .htaccess mit html
Hallo, ich will ein Login / Logout für den Passwortgeschützten Bereich meiner HP realisieren. .htaccess erschien mir dafür am sichersten zu sein, allerdings kann man leider anscheind keinen wirklichen Logout programmieren, da der Cache des Browsers die Daten (Benutzername / Passwort) wohl nicht löschen oder überschreiben kann. Da ich aber dennoch nicht darauf vertrauen will, dass die User meiner Seite immer das Fenster schließen würde ich dennoch gerne ein Logout schaffen, dass die Cache-Daten überschreibt.
Ich habe herausgefunden, dass man, wenn man:
http://User:UserPasswort@Domain.de/PasswortgeschütztesVerzeichnis/ eingibt die Passwortabfrage über das Browserfenster umgangen und der Passwortgeschützte Bereich geöffnet wird. gibt man jetzt als Link für den Logout
http://FakeUser:FakePasswort@Domain.de/
ein, so werden die Daten überschrieben und man kommt nicht mehr in den Bereich ohne erneut das Passwort einzugeben.
Hat man aber vorher zum einloggen die Passwortabfrage des Browsers genutzt funktioniert diese Methode nicht, der Browser will für jede Seite das Passwort extra haben.
Daher meine Frage, gibt es die Möglichkeit in einer HTML-Seite eine Passwortabfrage zu machen, die automatisch den Usernamen und das Passwort, das der Besucher eingibt in eine URL nach dem obigen Muster einsetzt?
Gibt es vielleicht andere Möglichkeiten einen Logout zu gestalten, wenn man mit .htaccess arbeitet?
Danke im Vorraus
York
-
Hi York,
http://User:UserPasswort@Domain.de/PasswortgeschütztesVerzeichnis/ eingibt die Passwortabfrage über das Browserfenster umgangen und der Passwortgeschützte Bereich geöffnet wird.
vielleicht. Bei bestimmten Browsern. Bei anderen, die sich an die korrekte Umsetzung der Protokolle halten, eher nicht.
Gibt es vielleicht andere Möglichkeiten einen Logout zu gestalten, wenn man mit .htaccess arbeitet?
Server Authentication ist kein Session-Konzept. Der Gedanke des "Logout" ist in diesem Kontext gar nicht wirklich sinnvoll.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Gibt es vielleicht andere Möglichkeiten einen Logout zu gestalten, wenn man mit .htaccess arbeitet?
Server Authentication ist kein Session-Konzept. Der Gedanke des "Logout" ist in diesem Kontext gar nicht wirklich sinnvoll.
Was heißt nicht Sinnvoll? Ich bin mir sicher, dass die Hälfte der User vergisst sich auzulogen und damit steht jedem der Passwort geschützte Bereich offen, der das selbe Browserfenster nutzt, damit ist doch dann die Sicherheit des eigentlich sichersten Systems für Passwortschutz wieder hinfällig. :-(
Gibt es denn zumindest eine Möglichkeit die Passwortabfrage in die Seite einzubauen und nicht über das Abfragefenster des Browsers zu regeln?
-
Was heißt nicht Sinnvoll? Ich bin mir sicher, dass die Hälfte der User vergisst sich auzulogen und damit steht jedem der Passwort geschützte Bereich offen, der das selbe Browserfenster nutzt, damit ist doch dann die Sicherheit des eigentlich sichersten Systems für Passwortschutz wieder hinfällig. :-(
Nur btw. htaccess ist _nicht_ sicher ganz im gegenteil, ist sogar ziemlich einfach zu umgehen.
lg
Ludwig-
Nur btw. htaccess ist _nicht_ sicher ganz im gegenteil, ist sogar ziemlich einfach zu umgehen.
Ist .htaccess nicht lauf Selfhtml die sicherste Lösung? so wie ich das da verstanden hab ist es sicherer als Java / javascript / PHP / ...
Die einzige Möglichkeit sollte doch angeblich die per FTP sein...
Was wäre denn dann sicherer?
York
-
Moin!
Was heißt nicht Sinnvoll? Ich bin mir sicher, dass die Hälfte der User vergisst sich auzulogen und damit steht jedem der Passwort geschützte Bereich offen, der das selbe Browserfenster nutzt, damit ist doch dann die Sicherheit des eigentlich sichersten Systems für Passwortschutz wieder hinfällig. :-(
Nur btw. htaccess ist _nicht_ sicher ganz im gegenteil, ist sogar ziemlich einfach zu umgehen.
So? Und wie, wenn ich fragen darf?
- Sven Rautenberg
--
SELFTREFFEN 2003 - http://selftreffen.kuemmi.ch/
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:| -
So sicher ist das garnicht, schau einfach mal in den Verlauf des IE
da siehtst du dann genau was du eingeben hast
http://username:passwort/.... also wenn mehrere den PC nutzen ist das garnicht so sicher-
So sicher ist das garnicht, schau einfach mal in den Verlauf des IE
da siehtst du dann genau was du eingeben hast
http://username:passwort/.... also wenn mehrere den PC nutzen ist das garnicht so sicherIch hab gerade mal in meine history geschaut und hab nur richtige URLs gefunden und keine mit dem Passwort oder dem Benutzernamen.
Aber wenn es eine Möglichkeit gibt die Passwortabfrage von .htaccess durch ein Passwortfeld in der Seite zu umgehen würde mir das ja auch schon helfen.
-
Hi René,
So sicher ist das garnicht, schau einfach mal in den Verlauf des IE
da siehtst du dann genau was du eingeben hast
http://username:passwort/.... also wenn mehrere den PC nutzen ist das garnicht so sicherDu unterliegst dem Irrglauben, Userid und Password dürften Bestandteil eines URL sein.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
-
Hi York Rieger,
Gibt es vielleicht andere Möglichkeiten einen Logout zu gestalten, wenn man mit .htaccess arbeitet?
Server Authentication ist kein Session-Konzept. Der Gedanke des "Logout" ist in diesem Kontext gar nicht wirklich sinnvoll.
Was heißt nicht Sinnvoll? Ich bin mir sicher, dass die Hälfte der User vergisst sich auzulogen
eben. Und das ist unabhängig davon, wie Du das Ausloggen implementierst.
Die einzige Chance, gegen die Vergeßlichkeit des Anwenders anzugehen, ist eine serverseitige Timeout-Logik - eben ein Session-Konzept. HTTP Authentication ist hierfür nicht geeignet.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
-
Hallo York,
hatte sowas noch offline gespeichert hier das Script<!-- TWO STEPS TO INSTALL HTACCESS LOGIN:
1. Copy the coding into the HEAD of your HTML document
2. Add the last code into the BODY of your HTML document --><!-- STEP ONE: Paste this code into the HEAD of your HTML document -->
<HEAD>
<SCRIPT LANGUAGE="JavaScript">
<!-- Based on FTP log in by: Reinout Verkerk -->
<!-- Original: Gordon Hudson (sales@hostroute.com) -->
<!-- Web Site: http://www.hostroute.com/ -->
<!-- This script and many more are available free online at -->
<!-- The JavaScript Source!! http://javascript.internet.com --><!-- Begin
function Login(form) {
var username = form.username.value;
var password = form.password.value;
var server = form.server.value;
if (username && password && server) {
var htsite = "http://" + username + ":" + password + "@" + server;
window.location = htsite;
}
else {
alert("Please enter your username and password.");
}
}
// End -->
</script></HEAD>
<!-- STEP TWO: Copy this code into the BODY of your HTML document -->
<BODY>
<!-- The hidden form field "server" needs to be the
address of your password protected directory. --><form name=login>
<input type="hidden" name="server" value="www.domain.com/secure/">
Username:
<input type=text name=username size=20>
<br><br>
Password:
<input type=password name=password size=20>
<input type=button value="Login!" onClick="Login(this.form)" name="button">
</form><p><center>
<font face="arial, helvetica" size"-2">Free JavaScripts provided<br>
by <a href="http://javascriptsource.com">The JavaScript Source</a></font>
</center><p><!-- Script Size: 1.58 KB -->
vielleicht hilft es dir
mfg René
-
vielleicht hilft es dir
Ja, sieht gut aus, danke, hast du denn Erfahrungen damit gemacht wie gut das mit verschiedenen Browsern funktioniert, weil Michael ja meinte, dass es nicht mit allen Browsern funktioniert...
York
-
Hab das zwar auf meiner jetzigen Seite eingebunden, funktionuiert aber nicht weil ich mit einem iFrames arbeite. Muss das Srcipt dfür noch umschreiben. Hab es auch bis jetzt nur im IE getestet und es hat funktioniert
-
-