nicht angemeldet
Quelltext mit Trick-17 verbergen...
Also, ich möchte folgendermaßen vorgehen:
Der link (www.nureinbeispiel.de) soll eine html datei öffnen namens "index.html"
diese soll nur die funktion haben, eine 2. html datei zu öffnen, jedoch ohne Statusleiste, Menüleiste, Adressleiste... also nur die Seite mit den "In Taskleiste verschieben","Minimieren/Maximieren", und "schließen" Buttons in der oberen Rechten Ecke des Fensters.
Beim laden dieser Seite soll sich aber die erste Seite (index.html) schließen, jedoch ohne die Meldung: "Ein weiteres Fenster versucht ein anderes zu schließen. Fortfahren? Ja/Nein"...
wenn das alte Fenster nämlich zu ist, und im neuen Fenster der Rechtsklick deaktiviert ist, können html-anfänger nicht an den quellcode kommen.
Hört sich irgendwie kompliziert an, aber theoretisch doch plausibel...
Meine Frage: Wie schließe ich das erste Fenster (opener Befehl???) ohne die Frage ob es wirklich geschlossen werden soll oder nicht?
-
hi,
wenn das alte Fenster nämlich zu ist, und im neuen Fenster der Rechtsklick deaktiviert ist, können html-anfänger nicht an den quellcode kommen.
ist dir schon mal aufgefallen, dass es fast immer nur absolute anfänger sind, die überhaupt meinen, ihren html-quellcode "verstecken" zu müssen?
recherchiere doch mal hier im </archiv/> ein paar meinungen zum thema quelltext verstecken ...
gruss,
wahsaga -
Hola,
Beim laden dieser Seite soll sich aber die erste Seite (index.html) schließen, jedoch ohne die Meldung: "Ein weiteres Fenster versucht ein anderes zu schließen. Fortfahren? Ja/Nein"...
Das geht. Ich wüsst jetzt aus dem Steigreif 2 Möglichkeiten den Internet Explorer abstürzen zu lassen, was aber nur beim IE funktioniert, und dir auch nicht viel weiterhelfen würde, da die andere Seite dann auch weg ist :)
wenn das alte Fenster nämlich zu ist, und im neuen Fenster der Rechtsklick deaktiviert ist, können html-anfänger nicht an den quellcode kommen.
Den Rechtsklick kann man nicht deaktivieren. Sprich, nur Noobs hält es davon ab, den Quelltext sehen zu können.
Hört sich irgendwie kompliziert an, aber theoretisch doch plausibel...
Vergiss es bitte. Wenn du deinen Quelltext schützen willst, stelle die Seite nicht ins Internet.
Übrigens wäre ich fast froh, wenn sich Leute an meinem Quelltext orientieren würden, da dann vielleicht nicht mehr so viele kaputte Seiten im Netz wären :)$xNeTworKx.
--
Mit Computern lösen wir Probleme, die wir ohne sie gar nicht hätten. -
wenn das alte Fenster nämlich zu ist, und im neuen Fenster der Rechtsklick deaktiviert ist, können html-anfänger nicht an den quellcode kommen.
Aller guten Dinge sind drei, daher auch mein Senf dazu:
Nur ein absoluter Anfänger kommt auf die Idee, sein Quelltext könnte was besonderes sein. Überleg dir mal was du damit erreichen willst? Hast du wirklich etwas so besonderes erstellt, das keiner es von dir abschauen darf? Warum willst du den Anfängern, die auf die (absurde) Idee kommen könnten von dir abzuschauen, nicht helfen?
Hast du eine Ahnung wie viele Leute du damit gleich wieder von deiner Seite vertreibst?Wenn du nicht willst (weiß Gott warum), das deine Codefuzel überall im Netz verteilt werden, schreib einen kleinen Kommentar rein.
Meine Frage: Wie schließe ich das erste Fenster (opener Befehl???) ohne die Frage ob es wirklich geschlossen werden soll oder nicht?
Geht nicht. Zum Glück.
--
sh:( fo:| ch:? rl:( br:$ n4:° ie:| mo:) va:) de:[ zu:) fl:( ss:| ls:[ js:(-
Wenn du nicht willst (weiß Gott warum), das deine Codefuzel überall im Netz verteilt werden, schreib einen kleinen Kommentar rein.
Der Grund ist ganz einfach, dass mein Webspace anbieter kein PHP und MySQL unterstützt, ich aber trotzdem eine Passwortabfrage für einen bestimmten Teil der Seite brauche... und was nützt mir eine Passwort abfrage, wenn jeder im Quelltext das richtige PW nachlesen kann...
-
Moin!
Kurz und gut: vergiss es!
Jeder, der
a) seinen PC/das Internet halbwegs kennt und/oder
b) lesen kannwird deinen Passwortschutz knacken ... wenn man das überhaupt so nennen kann.
Ansonsten kannst im Archiv noch jede Menge dazu lesen - viel Lehrreiches dabei!
Gruß
Der Hans
-
Moin!
und was nützt mir eine Passwort abfrage, wenn jeder im Quelltext das richtige PW nachlesen kann...
Wer so schlau ist und vermutet, du hättest eine Passwortabfrage im Quelltext, der wird auch so schlau sein, und in den Quelltext reinschauen. Und er wird dann ebenfalls so schlau sein, und trotz deiner Maßnahmen, die ich einfach nur als lächerlich dumm bezeichnen kann, den Quelltext anzusehen.
Clientseitige Passwortabfragen bieten keine Sicherheit. Egal was du dir tolles ausdenkst, du wirst immer das Passwort an den Client ausliefern müssen, damit dort die Korrektheit der Eingabe geprüft werden kann. Diese Übermittlung kann abgefangen und ausgewertet werden.
Einzige Chance:
Frage nach dem Passwort und leite dann auf die Datei "passwort.html" um (wobei "passwort" das eingegebene Passwort ist).Allerdings: Wer das Passwort kennt und den Link weitergibt, versaut dir den Schutz natürlich auch - und du kannst nicht selektiv einzelne User wieder aussperren, ohne allen anderen ein neues Passwort mitzuteilen.
Und - logisch: Die Verfahrensweise funktioniert nur für eine Seite. Dafür brauchst du dann aber den schwachsinnigen Quelltextschutz nicht mehr, und auch nicht das neue Browserfenster.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:| -
Der Grund ist ganz einfach, dass mein Webspace anbieter kein PHP und MySQL unterstützt, ich aber trotzdem eine Passwortabfrage für einen bestimmten Teil der Seite brauche... und was nützt mir eine Passwort abfrage, wenn jeder im Quelltext das richtige PW nachlesen kann...
Einzige (sinnvolle) Lösung:
Such dir einen anderen Anbieter. Selbst bei den kostenlosen gibt es welche mit php, einige wenige sogar mySQL (brauchst du hier aber ja gar nicht).Mit einer seiteninternen Abfrage wirst du nur sehr, sehr wenigen den Zugang verwehren. Das lohnt einfach nicht.
Es gibt allerdings schon ein paar Tricks, um das mit JS ein (klitze-) kleines bischen sicherer zu machen:
Leite deinen Besucher einfach per JS auf die Seite "daseingegebenepasswort.htm" um. Wer das falsche eingibt sieht eine 404-Seite Fehlt-Meldung.
Sicherheit hast du damit auch nicht, aber auf jeden Fall besser als eine Rechtsklicksperre.--
sh:( fo:| ch:? rl:( br:$ n4:° ie:| mo:) va:) de:[ zu:) fl:( ss:| ls:[ js:(-
Moin!
Sicherheit hast du damit auch nicht
Wieso nicht?
Ok, das Verfahren ist aus diversen Gründen kritisierbar, weil es Sicherheit auf einem sehr niedrigen Level realisiert:
1. Alle Benutzer haben das gleiche Passwort
2. Das Passwort steht in der URL, kann folglich auch nach anderswo sickern (Referrer, Browser-History,...)Aber grundsätzlich: Wer ohne Zusatzwissen einfach nur das richtige Passwort eingeben soll, erhält keinerlei Hinweise auf das richtige Passwort und muß Brute Force einsetzen, um weiterzukommen.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
Wieso nicht?
1. Deswegen:
- Alle Benutzer haben das gleiche Passwort
- Das Passwort steht in der URL, kann folglich auch nach anderswo sickern (Referrer, Browser-History,...)
2. wegen der Gründe aus deinem ersten Post
(ändern des "Passwortes" je nach User-Zahl sehr schwer)3. An offen zugänglichen Rechnern kann die Seite von anderen immer noch über die Browser-History aufgerufen werden (gut, das kommt wohl eher selten vor)
und 4. gibt es durchaus noch viele Server, die erlauben einfach den Ordner-Inhalt anzuzeigen.
Einfach nur das JS reinschreiben reicht nicht, ein bischen kümmern muss man sich schon noch ;)Gäbe sicher noch mehr Gründe, genug davon sind natürlich Haarspalterei.
Wenn allerdings der Aufwand nicht zu groß ist, und man "sicheren" Schutz will, ist der Wechsel auf PHP-Webspace besser.--
sh:( fo:| ch:? rl:( br:$ n4:° ie:| mo:) va:) de:[ zu:) fl:( ss:| ls:[ js:(-
Moin!
Wenn allerdings der Aufwand nicht zu groß ist, und man "sicheren" Schutz will, ist der Wechsel auf PHP-Webspace besser.
Warum so kompliziert? Der meiste Webspace wird von Apache ausgeliefert, da geht auch .htaccess meistens.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
-
hi,
Aber grundsätzlich: Wer ohne Zusatzwissen einfach nur das richtige Passwort eingeben soll, erhält keinerlei Hinweise auf das richtige Passwort und muß Brute Force einsetzen, um weiterzukommen.
dazu ist so wenig "zuastzwissen" erforderlich, dass jeder, der sich rudimentär mit html und javascript auskennt, deinen "schutz" im nu überwunden hat.
gruss,
wahsaga-
Moin!
Aber grundsätzlich: Wer ohne Zusatzwissen einfach nur das richtige Passwort eingeben soll, erhält keinerlei Hinweise auf das richtige Passwort und muß Brute Force einsetzen, um weiterzukommen.
dazu ist so wenig "zuastzwissen" erforderlich, dass jeder, der sich rudimentär mit html und javascript auskennt, deinen "schutz" im nu überwunden hat.Gut, die Wette gilt! Ich schätze dich als so sachverständig ein, dass es dir sicherlich ein Leichtes ist, mir zu posten, welchen Sinnspruch ich auf der Seite versteckt habe, die über das Javascript-Login unter http://n00b.kaltschrank.de/passwort/ erreichbar ist.
Die Einladung gilt natürlich auch für alle anderen Leser des Forums.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
lol
directory listing ist aus
lol
n00b
das kann man auch umgehen
aber nicht mit legalen methoden
also begehst du hiermit eine straftat
denn das auffordern zu solchen ist auch eine-
Moin!
lol
directory listing ist ausJa, das ist der Sinn der Sache. Aber es ist sogar noch ein Stückchen einfacher, denn auf dem Webspace ist mod_speling aktiv. Einen Fehler im Dateinamen kann man also sogar machen, was die Zahl der "korrekten" Passworte erhebich steigert.
lol
n00b
das kann man auch umgehenWo ist dann der Sinnspruch?
aber nicht mit legalen methoden
Welche Methoden schweben dir vor?
also begehst du hiermit eine straftat
Es handelt sich um _meinen_ Webspace. Den kann ich für Nutzungen zur Verfügung stellen, wie ich will. Was dessen Sicherheit angeht, vertraue ich erstens der Wahl meiner Passworte und zweitens den Sicherheitsvorkehrungen des Providers.
denn das auffordern zu solchen ist auch eine
Ich kann innerhalb meines Machtbereichs auffordern, zu was ich will. :)
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
Moin!
aber nicht mit legalen methoden
Welche Methoden schweben dir vor?
So, da die Seite derzeit down ist (Vermutung: Weil jemand Brute Force einsetzt), nochmal der deutliche Hinweis:
Ich habe explizit zugegeben, dass man mit Brute Force weiterkommt. Die Frage ist: Wie schnell kommt man weiter?
Kurze Rechnung: Ich habe ein mehr als 14 Zeichen langes Passwort eingesetzt. Es stehen je Zeichen mindestens 26 kleine, 26 große Buchstaben und 10 Zahlen zur Verfügung.
Also gibts mindestens 12.401.769.434.657.526.912.139.264 Passwörter, die geprüft werden müssen.
Wenn der Server pro Sekunde tatsächlich 1000 Stück schafft, dauert das insgesamt 393.257.529.003.599 Jahre.
Der Brute-Force-Angriff darf also gerne aufgegeben werden, er ist reichlich sinnlos. Denn das Passwort _ist_ lang - hat ja niemand gesagt, ich dürfe kein vernünftiges Passwort wählen.
Und nein: Auch "sex", "wahsaga" oder "asdf" sind falsche Passworte. :)
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
-
-
-
hi,
Gut, die Wette gilt! Ich schätze dich als so sachverständig ein, dass es dir sicherlich ein Leichtes ist, mir zu posten, welchen Sinnspruch ich auf der Seite versteckt habe, die über das Javascript-Login unter http://n00b.kaltschrank.de/passwort/ erreichbar ist.
*gnarf*
mein hinweis stand natürlich irgendwie an der falschen stelle, ich geb's zu. meine aussage war auf die möglichkeit "passwort im javascript-quelltext" bezogen, die im threadverlauf mehrmals auftauchte.
an der stelle, wo sie dann in folge geistiger umnachtung meinerseits gelandet ist, macht sie wohl keinen sinn._nein_, einen solchen "schutz" der per location.href auf die seite mit dem eingegebenen namen weiterleitet, kann man nicht so einfach umgehen.
aber das ist in meinen augen kein "passwortschutz", sondern ein "gebe einen seitennamen ein, und ich leite dich dahin weiter"-formular.
gruss,
wahsaga
-
-
-
-
-
Hi,
außer der schon angesprochenen äußerst simplen methode mit "passwort.html" könnte dir vielleicht auch die .htaccess helfen.
freundliche Grüße
Ingo
-
-
-
Merhaba!
Die wohl überzeugendste Möglichkeit, Deinen 6-Millionen-Dollar-Quelltext wenigstens vor Nichtwissenden zu verstecken, ist
HTMLZip (Siehe Google). Das hat gleichzeitig den Vorteil, dass Die betreffende Datei Zip-komprimiert wird. Interessant, das das hier im Forum auf diese Frage eigentlich noch nie genannt wurde...
Jehova-2-Syndrom, möglicherweise.Bis dann - Ollie
--
Die Welt ist grau.
Und bunt.
Content is Quing!
sh:( fo:| ch:? rl:? br:& n4:( ie:| mo:| va:) de:> zu:) fl:| ss:| ls:[ js:|-
Moin!
Die wohl überzeugendste Möglichkeit, Deinen 6-Millionen-Dollar-Quelltext wenigstens vor Nichtwissenden zu verstecken, ist
HTMLZip (Siehe Google). Das hat gleichzeitig den Vorteil, dass Die betreffende Datei Zip-komprimiert wird. Interessant, das das hier im Forum auf diese Frage eigentlich noch nie genannt wurde...HTMLZip entpackt den Quelltext mit Javascript. Und schon kann man wieder drauf zugreifen, bzw. den Vorgang an einer passenden Stelle abfangen. Das Verfahren "Quelltext zippen" unterscheidet sich in keiner Weise vom Verfahren "Quelltext verschlüsseln" und ist in identischer Weise angreifbar.
"Überzeugend" ist lediglich, dass weniger Daten übertragen werden müssen (wobei fraglich ist, ob das Mitliefern der Unzip-Routine den Vorteil nicht wieder aufhebt).
Jehova-2-Syndrom, möglicherweise.
Nein. Hinsichtlich der Fragestellung "Quelltext verstecken" gibt es immer wieder nur die gleiche Antwort: Es geht nicht. Man kann lediglich den Aufwand ein wenig hochsetzen, um Leute abzuhalten, die ganz doof sind. Als Ergebnis hält man aber auch Suchmaschinen ab, die mit dem Javascript absolut nichts anfangen können.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
Tach Sven,
grundsätzlich stimme ich Dir zu, allerdings ging
es ja nicht um 'so mache ich meinen Quelltext für
alle unsichtbar'.
Schließlich ist dieses Verfahren mehr als fragwürdig
und benötigt außerdem noch essentiell JavaScript.Bis dann - Ollie
--
Die Welt ist grau.
Und bunt.
Content is Quing!
sh:( fo:| ch:? rl:? br:& n4:( ie:| mo:| va:) de:> zu:) fl:| ss:| ls:[ js:|-
Moin!
grundsätzlich stimme ich Dir zu, allerdings ging
es ja nicht um 'so mache ich meinen Quelltext für
alle unsichtbar'.Nein, es sollte ein untaugliches Passwortverfahren geschützt werden.
These: Wer das Passwortverfahren durch Quelltextgucken überwinden kann, wird auch in der Lage sein, HTMLZip zu entschärfen.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
-
-
-