Hello, Du kannst mit einer Session arbeiten und wenn das Passwort noch nicht eingegeben wurde, die Ausgabe der "geschützten" Seite verweigern. Die Ressourcen müssen daher alle "aktive" Ressourcen sein, die sich selber schützen können... In jeder Ressource muss also (am Anfang) der Testcode auf das Passwort enthalten sein. Anderenfalls müssen die Ressourcen außerhalb der Document Root gespeichert werden, damit man nicht ohne Passwort direkt per http/s darauf zugreifen kann. Du solltest dann aber auf jeden Fall ein Log schreiben, in dem mit IP und Datum-Teit vermerkt ist, ob der Anmeldeversuch geklappt hat, oder nicht. Das kannst Du dann z. B. mittels fail2ban oder Nachfolger auf Bruteforce überwachen. Sonst ist diese Konstruktion quasi offen, wie ein Scheunentor. Liebe Grüße Tom S. -- Es gibt nichts Gutes, außer man tut es! Das Leben selbst ist der Sinn.

Hello, Du kannst mit einer Session arbeiten und wenn das Passwort noch nicht eingegeben wurde, die Ausgabe der "geschützten" Seite verweigern. Die Ressourcen müssen daher alle "aktive" Ressourcen sein, die sich selber schützen können... In jeder Ressource muss also (am Anfang) der Testcode auf das Passwort enthalten sein. Anderenfalls müssen die Ressourcen außerhalb der Document Root gespeichert werden, damit man nicht ohne Passwort direkt per http/s darauf zugreifen kann. Liebe Grüße Tom S. -- Es gibt nichts Gutes, außer man tut es! Das Leben selbst ist der Sinn.