Roger: htaccess-Passwort wird im Browser gespeichert?

hallo!

wo werden denn der benutzername und das passwort gespeichert, wenn ich eine htaccess geschützte seite aufrufe und mich dort mit validen daten anmelde? diese daten müssen noch bei jedem aufruf an den server gesendet werden, oder?

gruß.
roger.

--
meine freundin sagt, ich wäre neugierig.
so steht's zumindest in ihrem tagebuch.
  1. Hi,

    wo werden denn der benutzername und das passwort gespeichert, wenn ich eine htaccess geschützte seite aufrufe und mich dort mit validen daten anmelde? diese daten müssen noch bei jedem aufruf an den server gesendet werden, oder?

    ja, werden sie, und ja, zwangsläufig merkt sie sich der Browser. Allerdings hat HTTP-Authentication, welches Du vermutlich meinst, trotz allzu vieler gegenteiliger Äußerungen nicht das Geringste mit der verzeichnislokalen Konfigurationsdatei des Apache-Webservers, also der .htaccess, zu tun. Daher gibt es keine ".htaccess-geschützte Seite" und auch keinen ".htaccess-Passwortschutz".

    Cheatah

    --
    X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
    X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
    X-Will-Answer-Email: No
    X-Please-Search-Archive-First: Absolutely Yes
    1. hallo!

      danke cheatah! wo werden denn die informationen im browser gespeichert? einfach nur im "zwischenspeicher"? und wie werden sie wieder zum server gesendet? irgendwie muss der server ja den user wiedererkennen.
      gibt es da evtl. irgendwo ein tutorial?
      direkt bei apache.org finde ich nur das handling mit den htaccess dateien. aber keine genauen angaben, wie die daten übermittelt werden.

      gruß.
      roger.

      --
      meine freundin sagt, ich wäre neugierig.
      so steht's zumindest in ihrem tagebuch.
      1. Hallo Roger,

        wo werden denn die informationen im browser gespeichert? einfach nur im "zwischenspeicher"?

        ja, irgendwo im Arbeitsspeicher des Browsers. Wo genau, wissen die Programmierer des Browsers. Aber das muss man auch nicht wissen.

        und wie werden sie wieder zum server gesendet?

        Der Browser sendet den gespeicherten Benutzernamen und das zugehörige Kennwort unaufgefordert bei jedem weiteren Request an denselben Host mit, bis der entweder behauptet, die Anmeldedaten seien nicht mehr gültig (z.B. anderes Verzeichnis) oder bis der Browser geschlossen wird (Ausnahme: Du lässt Zugangsdaten explizit im Browser speichern, um sie nicht erneut eingeben zu müssen).

        irgendwie muss der server ja den user wiedererkennen.

        Wenn der Client von sich aus immer Benutzernamen und Kennwort mitsendet, braucht der Server dazu gar nichts weiter zu tun. Das ist so, als ob der Besucher an der Werkspforte ein Kärtchen ausfüllen muss, das er sich dann ans Revers tackert.

        direkt bei apache.org finde ich nur das handling mit den htaccess dateien. aber keine genauen angaben, wie die daten übermittelt werden.

        Das findest du in der HTTP-Spec (RFC musst du selbst raussuchen).

        Ciao,
         Martin

        --
        Wenn zwei dasselbe tun, sind sie vielleicht bald zu dritt.
        1. hallo,

          Das findest du in der HTTP-Spec (RFC musst du selbst raussuchen).

          Vermutlich meinst du ftp://ftp.rfc-editor.org/in-notes/rfc2617.txt

          Grüße aus Berlin

          Christoph S.

          --
          Visitenkarte
          ss:| zu:) ls:& fo:) va:) sh:| rl:|
      2. Hi,

        gibt es da evtl. irgendwo ein tutorial?

        Wie immer gibt's ein RFC! :-)

        aber keine genauen angaben, wie die daten übermittelt werden.

        Mit jedem Request werden Username und Passwort als Request-Header mitgesendet.

        Gruß, Cybaer

        --
        Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
        1. hallo!

          Mit jedem Request werden Username und Passwort als Request-Header mitgesendet.

          und wenn der server ein 401 sendet, ist alles gut :)
          fein.
          in diesem zusammenhang schieb ich mal mein problem vom montag hier mit ein. :) ein proxy könnte doch, wenn der browser immer die daten mitsendet diese unterdrücken. oder?

          gruß.
          roger.

          --
          meine freundin sagt, ich wäre neugierig.
          so steht's zumindest in ihrem tagebuch.
          1. Hi,

            in diesem zusammenhang schieb ich mal mein problem vom montag hier mit ein. :) ein proxy könnte doch, wenn der browser immer die daten mitsendet diese unterdrücken. oder?

            Ein Proxy kann allen möglichn Dummfug anstellen. ;-) Die Frage ist eher: Warum sollte er das tun? ;) Es könnte ein Unachtsamkeit bei der Programmierung vorliegen, die die Theorie nicht zur Praxis werden lassen ...

            Gruß, Cybaer

            --
            Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
            1. hallo!

              Ein Proxy kann allen möglichn Dummfug anstellen. ;-) Die Frage ist eher: Warum sollte er das tun? ;)

              also doch eher eine sicherheitseinstellung im browser?

              gruß.
              roger.

              --
              meine freundin sagt, ich wäre neugierig.
              so steht's zumindest in ihrem tagebuch.
              1. Hi,

                also doch eher eine sicherheitseinstellung im browser?

                Wenn Du das "Problem vom Montag" meinst: Wohl eher nicht.

                Generell: Wohl eher auch nicht. ;-)

                Gruß, Cybaer

                --
                Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
                1. hallo!

                  Generell: Wohl eher auch nicht. ;-)

                  grml. und nu?
                  woran kann es denn noch liegen?

                  gruß.
                  roger.

                  --
                  meine freundin sagt, ich wäre neugierig.
                  so steht's zumindest in ihrem tagebuch.
    2. Hallo Cheatah,

      kannst du das bitte näher erläutern?
      Steht das nicht im Widerspruch zu http://de.selfhtml.org/servercgi/server/htaccess.htm ?

      freundliche grüße
      Bene

      1. Hallo,

        Steht das nicht im Widerspruch zu http://de.selfhtml.org/servercgi/server/htaccess.htm ?

        nein, das ist kein Widerspruch. Die HTTP-Authentication *kann* man in der lokalen Konfigurationsdatei .htaccess einstellen. Das ist aber nur eine von mehreren Möglichkeiten.
        Umgekehrt kann man durch Direktiven in der .htaccess nicht nur die Passwortgeschichte, sondern noch eine Menge anderer Dinge konfigurieren.

        So long,
         Martin

        --
        Du kannst dem Leben nicht mehr Tage geben.
        Aber dem Tag mehr Leben.
        1. hallo,

          Steht das nicht im Widerspruch zu http://de.selfhtml.org/servercgi/server/htaccess.htm ?
          nein, das ist kein Widerspruch. Die HTTP-Authentication *kann* man in der lokalen Konfigurationsdatei .htaccess einstellen.

          Ich bin immer noch unentschlossen, ob nicht vielleicht unter "Beachten Sie" in der nächsten Version von SELFHTML ein kurzer Hinweis dieser Art gemeinsam mit einem Verweis zur RFC 2617 aufgenommen werden sollte. Diese Definitionsfrage taucht ja doch gelegentlich hier im Forum auf.

          Grüße aus Berlin

          Christoph S.

          --
          Visitenkarte
          ss:| zu:) ls:& fo:) va:) sh:| rl:|
          1. Hi,

            Ich bin immer noch unentschlossen, ob nicht vielleicht unter "Beachten Sie" in der nächsten Version von SELFHTML ein kurzer Hinweis dieser Art gemeinsam mit einem Verweis zur RFC 2617 aufgenommen werden sollte. Diese Definitionsfrage taucht ja doch gelegentlich hier im Forum auf.

            ich wäre dafür, die Abwärtskompatibilität zu alten Fehlern beizeiten zu beenden und den Artikel statt dessen umzubenennen. Der Begriff ".htaccess" sollte darin allenfalls in Klammern auftauchen.

            Cheatah

            --
            X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
            X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
            X-Will-Answer-Email: No
            X-Please-Search-Archive-First: Absolutely Yes
            1. hallo Cheatah,

              ich wäre dafür, die Abwärtskompatibilität zu alten Fehlern beizeiten zu beenden und den Artikel statt dessen umzubenennen. Der Begriff ".htaccess" sollte darin allenfalls in Klammern auftauchen.

              Die SELFHTML-Seite über .htaccess ist kein "Artikel", sondern integraler Bestandteil von SELFHTML, insofern kann sie kaum umbenannt werden. Es gäbe allenfalls die Möglichkeit, eine zusätzliche Seite in das Serverkapitel einzufügen, die sich dann eben _ausschließlich_ dem Problem der HTTP-Authentifizierung widmen könnte. Ich habe so eine Lösung schon überlegt, bin aber bisher zu dem Schluß gekommen, daß es nicht genügend "Material" für eine solche neue Einzelseite gibt. Du kannst mich da gern mit Hinweisen zu mehr Material (es muß halt mehr als bloß ein "Beachten Sie"-Absatz sein) überreden, das eben doch zu versuchen. Dann müßte es noch im Redaktionskreis besprochen werden (allerdings lesen die Redaktionskollegen ja hier auch mit ;-)).

              Schließlich sind "wir" durchaus schon am Werkeln für SELFHTML 8.1.2, bisher ist für die angesprochene Seite aber lediglich die Beseitigung eines groben Fehlers vorgesehen und im SVN realisiert.

              Wenn du weitergehende Vorschläge hast, kannst du sie mir gerne mailen. Aber es spricht auch nichts dagegen, das hier im Forum zu diskutieren.

              Grüße aus Berlin

              Christoph S.

              --
              Visitenkarte
              ss:| zu:) ls:& fo:) va:) sh:| rl:|