Passwort-Schutz

  • Hi

    Ich möchte gerne eine Seite durch einem Passwort schützen.
    Durch die Post-Methode soll das ja nicht schwer sein ... aber wie kann ich die Seite so schützen, damit der eingelogter User die URL nicht an Dritten weiterschicken kann. Beim Copy/Paste soll man nämlich nicht auf die geschützte Seite gelangen können, sondern auf die Loging-Seite.

    Wenn ich mit Gedanken bisschen rumspiele, stelle ich mir vor dass man durch Coockies od. IP-Adresse den User identifizieren kann. Coockies schliess ich mal aus, da man die ja deaktivieren kann. Bleibt also nur noch die IP-Methode übrig.

    Gibt es den andere Methoden dafür?

  • Sessions sind eine gute Lösung, für das, was du machen willst.
    Aber das ist nicht gerade einfach umzusetzen.
    Um den Inhalt wirklich nur der Person sichtbar zu machen, die befugt ist, musst du eine Menge Kontrollstrukturen einbauen.
    Beispielsweise, solltest du auf der Seite mit dem Inhalt - bevor du diesen ausgibst - erst prüfen, ob eine entsprechende Session für den User vorhanden ist, ansonsten fliegt man gleich raus zum Login.

    Ich würde dir dann auch eine Timeout-Session empfehlen, die ca. 1-2 Stunden gültig ist und falls die dann abgelaufen ist, wird man aufgefordert, sich neu einzuloggen.

    Wie gut du das Ganze umsetzen kannst, hängt von deinen PHP-Kenntnissen ab. Solltest du keine haben, dann wirst du es nicht hinbekommen.
    Dann solltest du das Ganze lieber mit .htaccess schützen, wie phpfan bereits gesagt hat.

  • Ich hab mich jetzt ein bisschen mal informiert, und immer öfters lese ich dass htaccess empfehlendswerter als Sessions ist.

    Wo ist den überhaupt der Unterschied?

    PS: Mir ist die Sicherheit der Seite nicht besonders wichtig. Man sollte die geschützte Seite nur nicht weiterschicken können. Ansonsten wer dringend vorhat die Seite zu hacken, meinetwegen.

  • Ich hab mich jetzt ein bisschen mal informiert, und immer öfters lese ich dass htaccess empfehlendswerter als Sessions ist.

    Wo ist den überhaupt der Unterschied?

    PS: Mir ist die Sicherheit der Seite nicht besonders wichtig. Man sollte die geschützte Seite nur nicht weiterschicken können. Ansonsten wer dringend vorhat die Seite zu hacken, meinetwegen.

  • der unterschied liegt u.a. darin, dass du den passwortschutz zwar mit hilfe von sessions (+php etc.) erreichen kannst, aber um dahinzu gelangen musst du alles selbst programmieren. htaccess ist bereits "fertig" und verlangt von dir nur die angabe von authorisierten usern+ deren passwort und los gehts.

    andererseits musst du als administrator alle authorisierten user mehr oder weniger manuell "anlegen" um ihnen das login zu ermöglichen. das könnte einen erhöhten nervfaktor bedeuten. jenach den wieviele user bei dir am start sind

    mit php (+sessions) kannst du alles automatisieren.

  • Hmm ich denke von daher ist die sessions-Methode doch geeigneter für meine Angelegenheit.

    Nun Ich habe Grundkenntnisse was PHP betrifft. Gibt es den eine Seite worauf mich gründlich über seasons informieren kann? Oder denke ich ganz und gar unrealistisch, da hierbei hohe Kenntnisse angefragt sind?

  • google

    bisschen einarbeiten musst du dich schon.

    der grundgedanke sollte dieser sein:
    in der userspezifischen session wird der aktuelle status (eingeloggt/ nicht eingeloggt) gespeichert und bei jedem(!) seitenaufruf abgefragt.
    jenach status wird dann entschieden ob die seite angezeigt werden soll oder nicht.
    es gibt verschiedene ansätze wie du den login status realisieren kannst. mach dir ein paar gedanken und fang erstmal mit einer einfachen version an. das kannst du nach und nach ausbauen

  • Zitat von Anonymous


    Nun Ich habe Grundkenntnisse was PHP betrifft. Gibt es den eine Seite worauf mich gründlich über seasons informieren kann? Oder denke ich ganz und gar unrealistisch, da hierbei hohe Kenntnisse angefragt sind?

    Auf Grund dieser Aussage schließe ich, dass du in Wirklichkeit nicht wirklich Ahnung von PHP hast. Sonst würdest du nicht "Seasons" schreiben und könntest dir selber helfen, nämlich das was du brauchst sind eig nur Grundkenntnisse (if-Abfragestrukturen ...) etc.

    Das einzige Neue wären dann folgende Zeilen:

    PHP
    <?php
    session_start();
    $_SESSION['auth']=true;
    ?>
  • trotzdem kann man kaum verhindern, dass einer der user die zugangsdaten weitergibt, die 100%-sicherheit gibts im net nicht...leider
    ich hab auf meiner seite mit den kinderbildern auch htaccess und hatte da bisher keine probleme