HTACCESS zum geschützten Website-Zugang -wie realisieren?

Beitrag von **Herbert** » 08.11.2004, 00:19

Folg. Fragestellung:

Es besteht eine Website, die mehrere Seiten hat, u.a. eine Kundenseite als Unterverzeichnis, welche sensitive, nicht öffentliche Kundendaten enthalten kann, z.B. unternehmensinterne Statistiken, Auswertungen etc. Diese liegen in div. Formaten vor (html, txt, pdf usw.).

Die Aufgabe:
Es muss für den jeweils berechtigten Kunden ein Zugang mittels Benutzernamen und Benutzerpaßwort geschaffen werden, ausgeführt als .htaccess.
Dabei ist zu beachten, daß jeder berechtigte Kunde einen eigenen Benutzer-Namen und ein eigenes -paßwort vorhält.
Also via Eingabefelder für Namen und Passwort auf der Kundenseite sind diese Daten zu übernehmen und die jeweilige (Unter)seite freizuschalten für den Kunden zur Ansicht/zum Datenabruf.

Was ist genau in welcher Abfolge zu tun? Welche Daten sind bereitzustellen? Welche Verschlüsselungen sind womit vorzunehmen (möglichst mit einem offline-tool)? Wie und wo ist die eigentliche userdatei MIT den passwords -die ja für jeden berechtigetn User online vorzuhalten ist- zu hinterlegen, und wie schützt man genau auch dieses Verzeichnis vor Einsicht?

Wer hat damit Erfahrung auf Unternehmens-Sites? Wer kann praxiserprobte Tipps geben?

von **Anzeige von ABAKUS** »

Beitrag von **bull** » 08.11.2004, 00:27

Ich glaube hier ist einiges für Dich dabei.

Beitrag von **robo** » 08.11.2004, 01:55

Herbert hat geschrieben:Was ist genau in welcher Abfolge zu tun? Welche Daten sind bereitzustellen? Welche Verschlüsselungen sind womit vorzunehmen (möglichst mit einem offline-tool)?

Du musst halt die .htaccess Datei anlegen mit den entsprechenden Optionen und eine User/Passwortdatei. Mit folgendem Scriptchen kannst du ein Passwort entsprechend crypten:

Code: Alles auswählen

<HTML>
  <HEAD>
    <TITLE>Crypt</TITLE>
  </HEAD>
  <BODY>
  Bitte das Passwort angeben&#58;
  <FORM ACTION="<?php echo $HTTP_SERVER_VARS&#91;'PHP_SELF'&#93; ?>" METHOD=post>
    <INPUT type=text name=klartext maxlength=12>
    <INPUT type=submit value=Go>
  </FORM>
  <?php
  if &#40;IsSet &#40;$HTTP_POST_VARS&#91;'klartext'&#93;&#41;&#41;&#58;
      echo "Der Crypt lautet&#58; ".crypt&#40;$HTTP_POST_VARS&#91;'klartext'&#93;&#41;;
  endif;
  echo "<hr>";
  echo "<h3>Source</h3>";
  show_source&#40;$HTTP_SERVER_VARS&#91;'SCRIPT_FILENAME'&#93;&#41;;
  ?>
  </BODY>
</HTML>

Herbert hat geschrieben:Wie und wo ist die eigentliche userdatei MIT den passwords -die ja für jeden berechtigetn User online vorzuhalten ist- zu hinterlegen, und wie schützt man genau auch dieses Verzeichnis vor Einsicht?

Die Datei liegt bei der .htaccess-Datei und wird geschützt, indem man ihr auch einen Punkt am Anfang verpasst.

Herbert hat geschrieben:Wer hat damit Erfahrung auf Unternehmens-Sites? Wer kann praxiserprobte Tipps geben?

Passwortschutz per .htaccess mit mehreren Usern habe ich schon gemacht, das ist kein Problem. Wenn du Unterstützung brauchst, dann gib Bescheid.

cu, Robo