nicht angemeldet
Passwortabfrage in Seite einbauen
Hallo liebe HTML-Freunde!
ich möchte auf meiner Homepage gerne einen Passwortgeschützten Bereich einbinden, welchen ich durch eine .htaccess-Datei schütze. Nur einen Sache stört mich dabei: Zur Passwortabfrage öffnet sich ein eigenes Fenster. Ich möchte aber auf meiner Seite 2 Felder (Nickname + Passwort), die nach Klick auf "Login" quasi übernommen werden und meine Besucher somit ohne extra-Fenster in den geschützen Bereich kommen!
In diesem Forum bzw. der Homepage habe ich leider kein verwandtes Thema gefunden. Bitte helft mir!
Danke bereits im Vorraus,
Benni
-
Hallo Benni,
ich möchte auf meiner Homepage gerne einen Passwortgeschützten Bereich einbinden, welchen ich durch eine .htaccess-Datei schütze.
das ist eine gute und einfache Idee.
Nur einen Sache stört mich dabei: Zur Passwortabfrage öffnet sich ein eigenes Fenster.
Dazu hab' ich auf die Schnelle folgendes Archivposting von Andreas Korthaus gefunden. Lies bitte den ganzen Thread.
Freundliche Grüße
Vinzenz
-
Hi
Mit PHP könntest du Benutzernamen und Passwort mit einer Datenbank vergleichen. Aber mit .htaccess wüsste ich nicht wie das geht...
Aber mich würden die Dialogboxen eigentlich nicht stören. Bei SELFHTML werden sie ja auch genutzt. Außerdem können dann Besucher Lesezeichen in der Form http://benutzer:passwort@sub.domain.tld/path/datei.ext speichern, so wie ich es fürs Forum mache. Dann kommt kein Eingabefeld mehr, sondern nur noch eine Hinweisbox.mfg
Genie-
Hallo
Mit PHP könntest du Benutzernamen und Passwort mit einer Datenbank vergleichen. Aber mit .htaccess wüsste ich nicht wie das geht...
z.B. so wie es in der apache-Doku steht :-)
Freundliche Grüße
Vinzenz
-
Hi,
http://benutzer:passwort@sub.domain.tld/path/datei.ext
ich mag mich irren, aber ich hab da was im Hinterkopf: Du gibst damit dein Passwort dem Serverbetreiber preis. Wenn der es sowieso kennt mag das keine Rolle spielen, aber in vielen Anwendungen ist das Passwort in eine Richtung verschlüsselt und kann nicht wieder entschlüsselt werden. Somit haben auch die Administratoren keine Ahnung, was dein Passwort ist. Rufst du allerdings eine Seite nach obigem Schema ab, dann taucht im Server-Log dein Benutzername+Passwort im Klartext auf...
MfG
Rouven--
-------------------
Computer programming is tremendous fun. Like music, it is a skill that derives from an unknown blend of innate talent and constant practice. Like drawing, it can be shaped to a variety of ends: commercial, artistic, and pure entertainment. Programmers have a well-deserved reputation for working long hours but are rarely credited with being driven by creative fevers. Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination, but because their imagination reveals worlds that others cannot see. -- Larry OBrien and Bruce Eckel in Thinking in C#-
hi,
http://benutzer:passwort@sub.domain.tld/path/datei.ext
ich mag mich irren, aber ich hab da was im Hinterkopf: Du gibst damit dein Passwort dem Serverbetreiber preis.
Wenn der es sowieso kennt mag das keine Rolle spielen, aber in vielen Anwendungen ist das Passwort in eine Richtung verschlüsselt und kann nicht wieder entschlüsselt werden.Aber nicht bei einfachem HTTP Auth, so wie hier im Forum.
Dabei wird das Passwort unverschlüsselt übertragen.gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Hi,
Aber nicht bei einfachem HTTP Auth, so wie hier im Forum.
Dabei wird das Passwort unverschlüsselt übertragen.taucht das dabei aktiv irgendwo auf? Hab das noch nie ausprobiert, loggt der Server das irgendwo oder hakt er es einfach als gültig ab?
Ich dachte bei Verschlüsselung in meinem Beitrag eher an Speicherung des SHA oder MD5 Hashs oder sowas.MfG
Rouven--
-------------------
Buy when there's blood running in the street and sell when everyone is pounding at your door, clawing to own your equities -- Wisdom on Wallstreet-
hi,
Aber nicht bei einfachem HTTP Auth, so wie hier im Forum.
Dabei wird das Passwort unverschlüsselt übertragen.
taucht das dabei aktiv irgendwo auf?Im HTTP Request - der idR. über diverse Stationen geht, bevor er überhaupt am Ziel ankommt.
Hab das noch nie ausprobiert, loggt der Server das irgendwo oder hakt er es einfach als gültig ab?
Normalerweise dürfte es nicht geloggt werden, auch bei der "Eingabemethode" über den URL, die Genie ansprach, setzt das ja der Browser schon in einen gültigen HTTP Request um, als normaler Request-URI wird das also nie im Log auftauchen.
Ein "böser" Serverbetreiber könnte das natürlich irgendwie anders abfangen und aufzeichnen - aber das kann er bei Eingabe über das aufpoppende Fensterchen, in dem du deine Zugangsdaten eingibst, auch.
Beide methoden dürften sich hinsichtlich dessen, was an den Server geschickt wird, nicht unterscheiden - mit der einen Ausnahme, dass die erstmalige 401-Antwort des Servers, mit dem er den Client auffordert, die Auth-Daten u übermitteln, wegfällt.Ich dachte bei Verschlüsselung in meinem Beitrag eher an Speicherung des SHA oder MD5 Hashs oder sowas.
Bei HTTP Basic Authentification nicht.
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }
-
-
-
-