Ajax mit HTTP Basic Auth

**asp2php** · 07.07.2007, 13:08

andere Frage, was hat es für einen Sinn, dass du via Javascript auf http://user: password@... zugreifen willst

? Genauso gut kannst du user & pw auf deiner Website veröffentlichen oder besser, garnicht schützen

**rEd1Z1_2K** · 07.07.2007, 13:09

das ganze hat den hintergrund eines vista sidebar gadgets..

auf dem vista rechner läuft ein server welcher in einem xml document daten ausgibt, welche wiederrum über einen http auth request geschützt sind..

**asp2php** · 07.07.2007, 15:52

Wende eine Technik nicht an, wenn du null Ahnung hast, wie es geht. Was hindert dich andererseits, per PHP auf das Verzeichnis zuzugreifen, Daten holen und an der aufrufenden JS-Fkt. zu antworten.

**rEd1Z1_2K** · 07.07.2007, 20:54

Original geschrieben von asp2php
Wende eine Technik nicht an, wenn du null Ahnung hast, wie es geht.

danke für schlussfolgerrungen die du dir garnicht erlauben dürftest, nur weil ich nach einer std google mich traue (!) zu fragen ob jemand ne möglichkeit kennt sowas via js zu regeln

Original geschrieben von asp2php
Was hindert dich andererseits, per PHP auf das Verzeichnis zuzugreifen, Daten holen und an der aufrufenden JS-Fkt. zu antworten.

genau das mache ich derzeit, allerdings ist es sehr aufwending für otto normal verbraucher ein webserver (z.b. xampp) aufzusetzen nur für ein kleines gadget, welches man viel viel einfacher über eine js-xml lösung handhaben könnte (!) sofern es die möglichkeit gibt.

ich möchte nur wissen ob es die möglichkeit gibt via JS header angaben direkt mit zu senden oder nicht.

da mir das aber mit dir schon zu unfreundlich ist, such ich mir lieber gleich ne andre community die auf fragen eingeht, und nicht gleich unhöflich antwortet..

trotzdem danke für deine aufmerksamkeit, auch wenn sie mir nicht weiter hilft.

**asp2php** · 08.07.2007, 01:13

Was ist denn so schwer an meine Frage?

Original geschrieben von asp2php
andere Frage, was hat es für einen Sinn, dass du via Javascript auf http://user: password@... zugreifen willst ? Genauso gut kannst du user & pw auf deiner Website veröffentlichen oder besser, garnicht schützen

Javascript ist nun mal clientseitig! Wie willst du denn die Zugangsdaten verstecken? Wenn du die Zugangsdaten schon in JS hast, dann brauchst du das Verzeichnis nicht mehr schützen. Denn jeder Idiot kann das darein.

Ist das jetzt klarer?

**rEd1Z1_2K** · 08.07.2007, 01:19

okay

nochmal mit allen details

ich habe hier einen programm server laufen welcher, wenn man möchte via http ein xml file erstellt, quasi ein mini apach auf einen bestimmten vordefinierten port mit zugangsdaten, wie nen simples HTTP AUTH

die zugangsdaten hat nur der, der sie eingegeben hat!!

das ganze dient NUR (!) wirklich NUR als vista sidebar gadget für ca 10-20leute wo die infos ausgelesen werden sollen

d.h. die zugangsdaten werden sowieso über die sidebar config des einzelnen gadgets in der windows registry gespeichert und werden NICHT plaintext in ein javascript geschrieben

heist die abfrage innerhalb des JS könnte (!) so aussehen

Code:

url = 'http://' + user + ':' + pass + '@' + address + ':' + port + '/info.xml';

da das aber nicht geht hab ich mitlerweile die lösung gefunden;

die url wird ganz normale ohne user

ass@ geschrieben

und bei der XMLHTTP instanz wird im bereich "open" einfach so gehandelt

Code:

http_request.open('GET', url, false, user, pass);

fertig.

**prego** · 08.07.2007, 14:01

Nichtsdestotrotz hat asp2php aber recht - der sinn deines Schutzes wird von dir selbst komplett ausgehebelt....

**pekka** · 08.07.2007, 14:06

User

ass@domainname geht im IE ja schon seit längerem aus Sicherheitsgründen nicht mehr.
Alternatividee: Ein kleines IFrame (1x1 Pixel) mit geschützter URL einblenden. Die Passwortabfrage erscheint, und alle Requests danach müßten durchgehen.

**ghostgambler** · 09.07.2007, 02:00

So wie ich es verstanden habe geht es einfach darum, dass der Client Javascript ausführt und nur diese Clients Zugriff auf den Server erhalten sollen.
Inwiefern da der Schutz selbst ausgehebelt werden sollte ist mir schleierhaft bis gar nicht klar...

**wahsaga** · 09.07.2007, 10:35

Original geschrieben von rEd1Z1_2K
d.h. die zugangsdaten werden sowieso über die sidebar config des einzelnen gadgets in der windows registry gespeichert und werden NICHT plaintext in ein javascript geschrieben

Und wie kommt Javascript an diese Daten ran, die in der Registry stehen ...?

Na ja, wenn du diese erst mal hast, dann sollte das m.E. kein größeres Problem darstellen - die Request-Header kann man ja auch bei XMLHTTPRequest bestimmen, und die "Kodierung" der Daten sollte sich auch hinbekommen lassen (base64 AFAIK, einfach mal in den zuständigen RFC schauen).

**asp2php** · 09.07.2007, 11:43

Original geschrieben von ghostgambler
So wie ich es verstanden habe geht es einfach darum, dass der Client Javascript ausführt und nur diese Clients Zugriff auf den Server erhalten sollen.
Inwiefern da der Schutz selbst ausgehebelt werden sollte ist mir schleierhaft bis gar nicht klar...

Diese Infos hat er aber erst später herausgerückt!

**rEd1Z1_2K** · 09.07.2007, 12:03

an die daten kommt man so:

Code:

var address = System.Gadget.Settings.read("address");
	var port = System.Gadget.Settings.read("port");
	var user = System.Gadget.Settings.read("user");
	var pass = System.Gadget.Settings.read("pass");
	var rows = System.Gadget.Settings.read("rows");

diese funktion bietet die sidebar und werden direkt ins JS vom IE integriert.

ob das den htaccess schutz aushebelt oder nicht, ist hier völlig irrelevant, da das ganze NUR, und wirklich NUR local basiert oder ggf im localen netzwerk, übers internet oder dergleichen oder domain übergreifend arbeitet ajax ja garnicht..

von daher.

Zitat von asp2php

Diese Infos hat er aber erst später herausgerückt!

hätte eigentlich auch niemand gebraucht wenn man mir nur gesagt hätte das man über "open" für genau diese fälle user & pass übergeben kann.. aber nunja, das ihr gleich ne diskussion über sicherheit aushebeln draus macht konnt ich nich riechen^^

**prego** · 13.07.2007, 20:12

Original geschrieben von rEd1Z1_2K
ob das den htaccess schutz aushebelt oder nicht, ist hier völlig irrelevant, da das ganze NUR, und wirklich NUR local basiert oder ggf im localen netzwerk, übers internet oder dergleichen oder domain übergreifend arbeitet ajax ja garnicht..

Also entweder bin ich jetzt komplett auf dem falschen Pferd oder ich verstehe einfach nicht was du willst.

Wenn das ganze Lokal ausgeführt wird, wofür dann überhaupt ein Passwort?

**rEd1Z1_2K** · 13.07.2007, 21:41

Original geschrieben von prego
Also entweder bin ich jetzt komplett auf dem falschen Pferd oder ich verstehe einfach nicht was du willst.

Wenn das ganze Lokal ausgeführt wird, wofür dann überhaupt ein Passwort?

ich zietier mich mal selbst

ich habe hier einen programm server laufen welcher, wenn man möchte via http ein xml file erstellt, quasi ein mini apach auf einen bestimmten vordefinierten port mit zugangsdaten, wie nen simples HTTP AUTH

die zugangsdaten hat nur der, der sie eingegeben hat!!

das Programm ist close source! also gibts dort eine sicherheitsabfrage nach passwort daten.. naja ist auch egal..

Ajax mit HTTP Basic Auth