Moin,

ich bin am Überlegen, wie ich für einen Bekannten, dessen Provider keine .htaccess zuläßt, trotzdem einen einigermaßen zuverlässigen "Zugriffsschutz" zustandebringe. Javascript scheidet aus, die Gründe sollten bekannt sein. PHP oder Perl läßt der Provider nicht zu.

Inwiefern soll Java da auch nur einen Funken anders machen? Java wird wie JavaScript auf dem Client ausgeführt, der Code mit dem Passwort und den evt. geschützten Inhalten ist also auf dem Client verfügbar. Noch dazu muss man bei Java üblicherweise nichtmal mit einem Hexeditor auf Spurensuche in der .class-Datei gehen, da sich diese meist einfach in eine .java dekompilieren lässt.

if("geheim".equals(passwort)) ist also auch in Java ausgemachter Unfug. Was evt. nicht vollkommen unnütz wäre, wäre das Passwort mit MD5/SHA-1 zu hashen und dann den Hash zu überprüfen, dann ist 'bloß' noch das Problem dass der Inhalt auch im .class rumliegt. Also legt man den Inhalt auf den Server und benutzt den Hash als Dateinamen. Whups, das geht ja mit JavaScript genausogut...

Wenn man einen Hauch von Sicherheit haben will müsste man schon den Inhalt verschlüsseln und aus dem Hash (mit einem Salt, versteht sich) den Schlüssel ableiten. Unter der Annahme eines nicht vollkommen beknackten Verschlüsselungsalgorithmus ist das dann nur noch über Brute Force auf das Passwort angreifbar.

Das allerdings mag mit Java in der Tat etwas schmerzfreier gehen, obwohl es mit JavaScript natürlich genauso möglich ist.