Jens-Peter: sicheres Logout garantieren ???

Hallo an alle Interessierten,

also ich hab da einen Mitglieder Bereich per htaccess geschützt. Jetzt meine Frage, kann man da einen sicheren "Logout" garantieren. Also, wenn ich dann mich auslogge und dann die Seite erneut aufrufe, dass dann das Kennwort erneut eingegeben werden muss, was ja sonst nicht so schnell geht ?

Ich möchte nur wissen, ob das irgendwie technisch möglich ist, bin in dem Thema noch ein bissel unerfahren.

J.-P.

  1. Hallo Jens.

    also ich hab da einen Mitglieder Bereich per htaccess geschützt. Jetzt meine Frage, kann man da einen sicheren "Logout" garantieren.

    In Verbindung mit der HTTP Basic Authentication gibt es nicht einmal einen Login. Du authentifizierst dich lediglich einmalig während der Browsersession, woraufhin dein Browser bei jeder Anfrage einer Ressource, welche sich im geschützten Bereich befindet, deine Authentifizierungsdaten erneut sendet.

    Also, wenn ich dann mich auslogge und dann die Seite erneut aufrufe, dass dann das Kennwort erneut eingegeben werden muss, was ja sonst nicht so schnell geht ?

    Wenn du dem entgegen wirken möchtest, kannst du beispielsweise die Funktion „Clear HTTP Authentication“ aus der Web Developer Toolbar verwenden.

    Eine andere Möglichkeit (außer dem neu Starten des Browsers) ist mir hierfür nicht bekannt.

    Einen schönen Freitag noch.

    Gruß, Ashura

    1. Hab bezüglich der Clear HTTP Authentication nichts Brauchbares bzw. etwas was ich verstehe gefunden. Bin ja wie gesagt noch niht sehr erfahren auf diesem Gebiet...

      1. Hallo Jens.

        Hab bezüglich der Clear HTTP Authentication nichts Brauchbares bzw. etwas was ich verstehe gefunden.

        Du bist meinem Link gefolgt?

        Bin ja wie gesagt noch niht sehr erfahren auf diesem Gebiet...

        Was verstehst du noch nicht?

        Einen schönen Freitag noch.

        Gruß, Ashura

        1. Du bist meinem Link gefolgt?

          Ja aber mit dem weiß ich nicht so was anzufangen, was ist das genau?

          http://webdeveloper.mozdev.org/

          1. Hallo Jens.

            Du bist meinem Link gefolgt?

            Ja aber mit dem weiß ich nicht so was anzufangen, was ist das genau?

            http://webdeveloper.mozdev.org/

            Eine (die!) Erweiterung für den Webgestalter unter den Firefox-Nutzern.

            Einen schönen Freitag noch.

            Gruß, Ashura

      2. Hallo,

        Hab bezüglich der Clear HTTP Authentication nichts Brauchbares bzw. etwas was ich verstehe gefunden.

        nein, wie auch? Du erliegst dem Irrtum vieler Neulinge, HTTP-AUTH sei ein Login-Mechanismus. Das ist aber nicht so. Ein "Login", wie du es meinst, schließt automatisch ein, dass zwischen Client und Server eine bleibende Verbindung aufgebaut wird. HTTP kennt aber keine permanente Verbindung. Sobald die angeforderte Ressource übertragen ist, ist für HTTP der Fall erledigt, die Zugangsdaten wieder vergessen. Dass du trotzdem scheinbar eingeloggt bleibst, nachdem du die Zugangsdaten einmal eingegeben hast, verdankst du dem "Gedächtnis" deines Browsers, der -nachdem er einmal nach den Zugangsdaten gefragt hat- diese automatisch bei allen folgenden Anfragen an denselben Server ungefragt mitschickt, egal ob nötig oder nicht.

        Deswegen kann ein "logout", wie du es dir vorstellst, nur innerhalb deines Browsers stattfinden - das ist aber bei den gängigen Browsern nicht vorgesehen. Serverseitig hast du da jedenfalls kaum eine Chance.

        So long,

        Martin

        1. ich dachte, das diese verbindungseinstellungen in einem cookie oder ähnlichem gespeichert sind, näheres hatte ich schon vorher geschrieben...

        2. Übrigens: Das Bild http://phpkit.morenow.de/phpkit/images/avatar/avauser_12804.gif, das du in deiner Signatur verlinkt hast, ist nicht erreichbar. Nach langer Wartezeit gibt der Browser endlich auf - aber das nervt.

          Ciao,

          Martin

          1. hab ich auch schon gemerkt, ist aber noch nicht lang, habs jetzt raus genommen.

    2. Moin,

      In Verbindung mit der HTTP Basic Authentication gibt es nicht einmal einen Login. Du authentifizierst dich lediglich einmalig während der Browsersession, woraufhin dein Browser bei jeder Anfrage einer Ressource, welche sich im geschützten Bereich befindet, deine Authentifizierungsdaten erneut sendet.

      Der Vollständigkeit halber: Das gilt so natürlich nur für Basic (und Digest) und nicht notwendigerweise für alles andere was da so kreucht und fleucht. Bei dieser kotzkrampfinduzierenden NTLM Authentication wird zum Beispiel die aktuelle TCP-Verbindung einmal am Anfang authentisiert.

      --
      Henryk Plötz
      Grüße aus Berlin
      ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
      ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
  2. Hallo!

    So weit ich weiß ist es nicht möglich, einen Logout bei htaccess zu erzwingen. Der Browser merkt sich die Kombination aus Username und Passwort normalerweise bis zum schließen aller aktiven Browserfenster.
    Eine möglichkeit ist, per Link mit falschem Username und falschem Passwort auf die Seite zu lenken. Also z.B. auf http://fakeuser:fakepw@example.org/. Diese Möglichkeit ist aber wohl kaum mit einem sicheren Logout zu vergleichen!

    Michael

    1. schade, dachte da kann man dem Browser glaub ich das Cookie, in dem die Anmelde-Infos momentan gespeichert sind, irgendwie löschen oder so.

      ???

      1. Hallo Jens-Peter,

        schade, dachte da kann man dem Browser glaub ich das Cookie, in dem die Anmelde-Infos momentan gespeichert sind, irgendwie löschen oder so.

        Nein, diese Informationen werden nicht in einem Cookie gespeichert, darum bringt auch das Löschen von Cookies nichts. Wie schon erwähnt ist die einzig sichere Lösung: alle (kommt auf den Browser drauf an, bei Firefox ist das zwingend) Browserfenster schliessen.

        Grüsse
        Siramon,
             ja der Penner aus Nr. 14

        1. Alternativ kann man den Login ja mit PHP oder ähnlichem realisieren, wennauch es vermutlich ein größerer Aufwand wäre, das umzuschreiben.

          Allerdings kann man dann in dem Fall ein sicheres Logout erstellen, indem man die Cookies und (falls vorhanden) die Session ganz einfach löscht.

          1. Allerdings kann man dann in dem Fall ein sicheres Logout erstellen, indem man die Cookies und (falls vorhanden) die Session ganz einfach löscht.

            Genau, und deshalb lass ich alles so wie es momentan ist. *g*