Wie Passwort Abfrage für Homepage / Website einrichten?

#1 Wie realisiere ich eine Passwort-Abfrage für meine Homepage?

Habe meine Homepage bisher ausschlieslich in HTML erstellt, und möchte diese nun ausschlieslich für spezielle Nutzer zugänglich machen. Wie realisiere ich eine Passwort-Abfrage? Kann mir jemand Tipps geben, oder kennt jemand eine Seite im Netz, wo mir weitergeholfen werden kann?

#2 Ich empfehle PHP weil du es in PHP nicht umgehen kannst (mit ausnahme von server misskonfiguration):

Code

$username="test"
$md5pass="MD5SUM";

if($_REQUEST['user']==$username & md5($_REQUEST['passwd']) == $md5pass) {
print "ACCESS GRANTED\n"; }else{ print "ACCESS DENIED\n"; }

so koennte das aussehn naja die $_REQUEST variablen übergibt das formular - php sätzt natürlich voraus das du (X)HTML kannst da es ein preprocessor ist. Das ist aber die sicherste Lösung (ausgenommen von htpasswd server config etc.). Das ist jetzt ne einfache passwd abfrage das koenntest du jetzt noch erweitern mit sessions und logout oder mit mySQL datenbank

in der var $md5pass kommt dann halt die md5 summe von deinem passwort was du benutzen willst und das wird dann mit den übergebenden variablen im formular verglichen.

Ach ja ich rate von Javascript in dem Fall ab da es sich fuer so etwas nicht so sonderlich eignet.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Falls Dein Server kein PHP unterstützt oder du PHP noch nicht beherrscht empfehle ich den einfachen Schutz per .htaccess:

Wie du das anstellst findest du hier beschrieben:
http://www.ideenreich.com/htaccess/zugriffsschutz_1.shtml

^^ hierbei kannst du auch eine Gruppe von Usern anlegen d.h. mehrere Nicks/Passwörter vergeben.

falls du eine noch genauere allerdings komplizierte Beschreibung suchst gucke mal hier: http://www.kortstock.de/WWW-Kurs/verzeichnisschutz/htaccess.html#Varianten
__________
Gruß Lukas

#4 @micha32le

Exakt da hat Lukas natürlich absolut recht das wird der bessere weg für dich sein.

Das ist auch der Weg der am sichersten ist - dabei werden halt zwei dateien im verzeichnis deiner Wahl erstellt einmal .htaccess und einmal .htpasswd in der .htaccess steht drin was fuer eine user authentifizierung das ist und wo die passwort datei die .htpasswd halt zu finden ist. In der .htpasswd stehen dann die user und die passwoerter drinnen - ganz neben bei die .htaccess ist eine Steuerdatei mit der kannst du noch mehr anstellen sofern die ursprüngliche Server config das zu läßt schau mal hier: http://www.trash.net/faq/htaccess.shtml
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Danke für die Tipps.

Habe .htaccess probiert, aber mein Web-Provider hat die funktion gesperrt, da ich nichtmal eine entsprechende Datei auf dem Server anlegen kann.

Jetzt brauche ich wieder eine andere Möglichkeit, wie ich einen Multi-User Zugang erstellen kann.

Weiß vielleicht noch jemand Rat??

#6 Hi,hat du die möglichkeit bei deinem Server einen geschützten Bereich zu erstellen?Bei 1&1 geht das,da kannst du ein verzeichnis anlegen mit Seiten die eine abfrage des Zugangsnamens sowie eines Passwortes benötigen.
__________
Meine Internetpräsenz

#7 Ich hätte da auch noch eine Frage: Was muss ich denn für einen Pfad in der .htaccess angeben. Von der .htacces aus oder wie?

Arne

#8 Hi!
In der .htaccess Datei must du den Absoluten Pfad zur .htpasswd oder wie die file auch heisst angeben!

Den Absoluten Pfad bekommst du indem du eine php-Datei mit folgendem Inhalt auf deinen Server lädst:

<?php echo $_SERVER["DOCUMENT_ROOT"] ?>

Wenn dir das nicht weiter hilft schreib ne mail an deinen Provider!

#9 Vielen Dank nochmal!

Arne

#10 http://www.accessprotect.com/

das find ich gut...

gruss bc

#11

Zitat

brainchaos postete
http://www.accessprotect.com/

das find ich gut...

gruss bc

Diese Seite (http://www.accessprotect.com/) ist nach Test eundeutige S_ _EISSE !

Wenn man die Firewall an hat geht gar nix von deren Seite aus.
So lange man sich von denen nicht ausspionieren lässt verweigern die die Weiterleitung.

Ausserdem müllen Sie einen mit Spam Mails zu falls bei Registrierung einer so dumm sein sollte und seine richtige E Mail Adresse angibt.

Eignet sich aber hervoragend um jemanden zu ärgern den man nicht mag, um z.B. die E Mail Adresse des gehassten bei der Anmeldung anzugeben.

#12 Also ich persönlich kann nur abraten von Passwortabfragen per JavaScript. Die sind absolut unsicher selbst wenn man mit PW Hashes vergleicht. Bei den meisten Passwörter ist selbst ein MD5 Hash in wenigen Minuten gecrackt da die User doch immer wieder zu "normalen" Wörtern tendieren die sie sich merken können. Und selbst bei absoluten Zufallszahlen dauert ein 8 stelliges nur einen Tag bei BruteForce.

Auch bei Kontrollen über PHP und MySQL muß man gewaltig aufpassen das man nich für Advanced SQL Injection anfällig ist. Leider sind dies die meisten privaten Seiten die so zu finden sind. Selbst professionelle Seiten/Programme sind da oft anfällig und somit absolut unsicher.

Das beste wäre wirklich einfach eine .htaccess Datei. Allerding muß man auch hier aufpassen das der Webserver die Dateien (besonders .htpasswd) entsprechend schützt und NIE zum runterladen anbietet. Auch hier "schlafen" anscheinend viele Webdesigner wo man dann oft den Directoryindex anzeigen kann und die htpasswd so runterladen kann. Wenn nicht benötigt auch am besten sofort alle Ordner von der Frontpage Erweiterung etc. runterlöschen. Hier lauern auch oft grosse Sicherheitslücken mit denen man viel umgehen kann.

#13

Zitat

Allerding muß man auch hier aufpassen das der Webserver die Dateien (besonders .htpasswd) entsprechend schützt

das geschieht gott sei dank beim apache per default
habe zugriff mittels "access" in der httpd.conf für die directories geregelt und htpasswd-file

.htaccess sollte man nur nutzen, wenn man keinen direkten zugriff auf die httpd.conf hat (bspw. hosting)

greez

--
Ansonsten Homepage selber erstellen