York Rieger: Login Formular für .htaccess mit html

Hallo, ich will ein Login / Logout für den Passwortgeschützten Bereich meiner HP realisieren. .htaccess erschien mir dafür am sichersten zu sein, allerdings kann man leider anscheind keinen wirklichen Logout programmieren, da der Cache des Browsers die Daten (Benutzername / Passwort) wohl nicht löschen oder überschreiben kann. Da ich aber dennoch nicht darauf vertrauen will, dass die User meiner Seite immer das Fenster schließen würde ich dennoch gerne ein Logout schaffen, dass die Cache-Daten überschreibt.

Ich habe herausgefunden, dass man, wenn man:

http://User:UserPasswort@Domain.de/PasswortgeschütztesVerzeichnis/ eingibt die Passwortabfrage über das Browserfenster umgangen und der Passwortgeschützte Bereich geöffnet wird. gibt man jetzt als Link für den Logout
http://FakeUser:FakePasswort@Domain.de/
ein, so werden die Daten überschrieben und man kommt nicht mehr in den Bereich ohne erneut das Passwort einzugeben.
Hat man aber vorher zum einloggen die Passwortabfrage des Browsers genutzt funktioniert diese Methode nicht, der Browser will für jede Seite das Passwort extra haben.

Daher meine Frage, gibt es die Möglichkeit in einer HTML-Seite eine Passwortabfrage zu machen, die automatisch den Usernamen und das Passwort, das der Besucher eingibt in eine URL nach dem obigen Muster einsetzt?

Gibt es vielleicht andere Möglichkeiten einen Logout zu gestalten, wenn man mit .htaccess arbeitet?

Danke im Vorraus

York

  1. Hi York,

    http://User:UserPasswort@Domain.de/PasswortgeschütztesVerzeichnis/ eingibt die Passwortabfrage über das Browserfenster umgangen und der Passwortgeschützte Bereich geöffnet wird.

    vielleicht. Bei bestimmten Browsern. Bei anderen, die sich an die korrekte Umsetzung der Protokolle halten, eher nicht.

    Gibt es vielleicht andere Möglichkeiten einen Logout zu gestalten, wenn man mit .htaccess arbeitet?

    Server Authentication ist kein Session-Konzept. Der Gedanke des "Logout" ist in diesem Kontext gar nicht wirklich sinnvoll.

    Viele Grüße
          Michael

    --
    T'Pol: I apologize if I acted inappropriately.
    V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
    (sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
     => http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
    Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
    1. Gibt es vielleicht andere Möglichkeiten einen Logout zu gestalten, wenn man mit .htaccess arbeitet?

      Server Authentication ist kein Session-Konzept. Der Gedanke des "Logout" ist in diesem Kontext gar nicht wirklich sinnvoll.

      Was heißt nicht Sinnvoll? Ich bin mir sicher, dass die Hälfte der User vergisst sich auzulogen und damit steht jedem der Passwort geschützte Bereich offen, der das selbe Browserfenster nutzt, damit ist doch dann die Sicherheit des eigentlich sichersten Systems für Passwortschutz wieder hinfällig. :-(

      Gibt es denn zumindest eine Möglichkeit die Passwortabfrage in die Seite einzubauen und nicht über das Abfragefenster des Browsers zu regeln?

      1. Was heißt nicht Sinnvoll? Ich bin mir sicher, dass die Hälfte der User vergisst sich auzulogen und damit steht jedem der Passwort geschützte Bereich offen, der das selbe Browserfenster nutzt, damit ist doch dann die Sicherheit des eigentlich sichersten Systems für Passwortschutz wieder hinfällig. :-(

        Nur btw. htaccess ist _nicht_ sicher ganz im gegenteil, ist sogar ziemlich einfach zu umgehen.

        lg
        Ludwig

        1. Nur btw. htaccess ist _nicht_ sicher ganz im gegenteil, ist sogar ziemlich einfach zu umgehen.

          Ist .htaccess nicht lauf Selfhtml die sicherste Lösung? so wie ich das da verstanden hab ist es sicherer als Java / javascript / PHP / ...

          Die einzige Möglichkeit sollte doch angeblich die per FTP sein...

          Was wäre denn dann sicherer?

          York

        2. Moin!

          Was heißt nicht Sinnvoll? Ich bin mir sicher, dass die Hälfte der User vergisst sich auzulogen und damit steht jedem der Passwort geschützte Bereich offen, der das selbe Browserfenster nutzt, damit ist doch dann die Sicherheit des eigentlich sichersten Systems für Passwortschutz wieder hinfällig. :-(

          Nur btw. htaccess ist _nicht_ sicher ganz im gegenteil, ist sogar ziemlich einfach zu umgehen.

          So? Und wie, wenn ich fragen darf?

          - Sven Rautenberg

          --
          SELFTREFFEN 2003 - http://selftreffen.kuemmi.ch/
          ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
        3. So sicher ist das garnicht, schau einfach mal in den Verlauf des IE
          da siehtst du dann genau was du eingeben hast
          http://username:passwort/.... also wenn mehrere den PC nutzen ist das garnicht so sicher

          1. So sicher ist das garnicht, schau einfach mal in den Verlauf des IE
            da siehtst du dann genau was du eingeben hast
            http://username:passwort/.... also wenn mehrere den PC nutzen ist das garnicht so sicher

            Ich hab gerade mal in meine history geschaut und hab nur richtige URLs gefunden und keine mit dem Passwort oder dem Benutzernamen.

            Aber wenn es eine Möglichkeit gibt die Passwortabfrage von .htaccess durch ein Passwortfeld in der Seite zu umgehen würde mir das ja auch schon helfen.

          2. Hi René,

            So sicher ist das garnicht, schau einfach mal in den Verlauf des IE
            da siehtst du dann genau was du eingeben hast
            http://username:passwort/.... also wenn mehrere den PC nutzen ist das garnicht so sicher

            Du unterliegst dem Irrglauben, Userid und Password dürften Bestandteil eines URL sein.

            Viele Grüße
                  Michael

            --
            T'Pol: I apologize if I acted inappropriately.
            V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
            (sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
             => http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
            Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
      2. Hi York Rieger,

        Gibt es vielleicht andere Möglichkeiten einen Logout zu gestalten, wenn man mit .htaccess arbeitet?

        Server Authentication ist kein Session-Konzept. Der Gedanke des "Logout" ist in diesem Kontext gar nicht wirklich sinnvoll.

        Was heißt nicht Sinnvoll? Ich bin mir sicher, dass die Hälfte der User vergisst sich auzulogen

        eben. Und das ist unabhängig davon, wie Du das Ausloggen implementierst.

        Die einzige Chance, gegen die Vergeßlichkeit des Anwenders anzugehen, ist eine serverseitige Timeout-Logik - eben ein Session-Konzept. HTTP Authentication ist hierfür nicht geeignet.

        Viele Grüße
              Michael

        --
        T'Pol: I apologize if I acted inappropriately.
        V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
        (sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
         => http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
        Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
  2. Hallo York,
    hatte sowas noch offline gespeichert hier das Script

    <!-- TWO STEPS TO INSTALL HTACCESS LOGIN:

    1.  Copy the coding into the HEAD of your HTML document
      2.  Add the last code into the BODY of your HTML document  -->

    <!-- STEP ONE: Paste this code into the HEAD of your HTML document  -->

    <HEAD>

    <SCRIPT LANGUAGE="JavaScript">

    <!-- Based on FTP log in by:  Reinout Verkerk -->
    <!-- Original:  Gordon Hudson (sales@hostroute.com) -->
    <!-- Web Site:  http://www.hostroute.com/ -->
    <!-- This script and many more are available free online at -->
    <!-- The JavaScript Source!! http://javascript.internet.com -->

    <!-- Begin
    function Login(form) {
    var username = form.username.value;
    var password = form.password.value;
    var server = form.server.value;
    if (username && password && server) {
    var htsite = "http://" + username + ":" + password + "@" + server;
    window.location = htsite;
    }
    else {
    alert("Please enter your username and password.");
       }
    }
    //  End -->
    </script>

    </HEAD>

    <!-- STEP TWO: Copy this code into the BODY of your HTML document  -->

    <BODY>

    <!-- The hidden form field "server" needs to be the
         address of your password protected directory. -->

    <form name=login>
    <input type="hidden" name="server" value="www.domain.com/secure/">
    Username:
    <input type=text name=username size=20>
    <br><br>
    Password:
    <input type=password name=password size=20>
    <input type=button value="Login!" onClick="Login(this.form)" name="button">
    </form>

    <p><center>
    <font face="arial, helvetica" size"-2">Free JavaScripts provided<br>
    by <a href="http://javascriptsource.com">The JavaScript Source</a></font>
    </center><p>

    <!-- Script Size:  1.58 KB -->

    vielleicht hilft es dir

    mfg René

    1. vielleicht hilft es dir

      Ja, sieht gut aus, danke, hast du denn Erfahrungen damit gemacht wie gut das mit verschiedenen Browsern funktioniert, weil Michael ja meinte, dass es nicht mit allen Browsern funktioniert...

      York

      1. Hab das zwar auf meiner jetzigen Seite eingebunden, funktionuiert aber nicht weil ich mit einem  iFrames arbeite. Muss das Srcipt dfür noch umschreiben. Hab es auch bis jetzt nur im IE getestet und es hat funktioniert