Passwort / Login /Verzeichnisschutz

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Passwort / Login /Verzeichnisschutz

    Hallo!

    Folgende Struktur:
    Ordner "Verwaltung"
    "index.php": Login/Passwort Abfrage
    "pruefen.php": Prüfen und bei Erfolg weiterleiten an
    "anfang.php".

    Wenn nun jemand mit Hilfe eines Grabber-Programms den Inhalt des Ordners "Verwaltung" einliest, stösst er irgendwann auf das Script "anfang.php", kann es direkt aufrufen und damit das Login umgehen.

    Sehe ich das richtig, dass sich dieses Problem mit Hilfe von Session IDs in den Griff kriegen lässt?

    Gruss, Wolfgang

  • #2
    klar so wie sich das anhört sicherst Du Deine Seiten nicht sondern nur die Weiterleitung.
    Sicher alle Seiten mit einem Schutz zB über Sessions.
    Beantworte nie Threads mit mehr als 15 followups...
    Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

    Kommentar


    • #3
      Danke für die Antwort!

      Habe mich bisher um das Thema Sessions "gedrückt", aber nun denn, packen wir's an!

      Gibt es ausser dem Tut von JoelH noch andere Tut- bzw. Literaturtips?

      Gruss, Wolfgang

      Kommentar


      • #4
        Re: Passwort / Login /Verzeichnisschutz

        Wenn nun jemand mit Hilfe eines Grabber-Programms den Inhalt des Ordners "Verwaltung" einliest, stösst er irgendwann auf das Script "anfang.php", kann es direkt aufrufen und damit das Login umgehen.
        wenn du mit .htaccess das directory listing des verzeichnisses ausschaltest, kann man das verzeichnis mit einem grabber gar nicht per http auslesen, dann kriegt man einen 403er wenn man versucht lediglich auf das verzeichnis ohne angabe eines dateinamens zuzugreifen...
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar


        • #5
          @wahsaga
          bitte um korrektur, falls mein gedankengang nicht richtig:

          wenn ich eine .htaccess ins verzeichnis lege, wird beim aufruf der "index.php" (oder auch jeder anderen datei in diesem verzeichnis) immer erst eine htacces-eingabeaufforderung eingeblendet, oder?

          und das möchte ich nicht: es soll die "index.php" mit der aufforderung zum login angezeigt werden.

          mir scheint der weg über sessions der einzig sinnvolle.

          gruss, wolfgang

          Kommentar


          • #6
            wenn ich eine .htaccess ins verzeichnis lege, wird beim aufruf der "index.php" (oder auch jeder anderen datei in diesem verzeichnis) immer erst eine htacces-eingabeaufforderung eingeblendet, oder?
            das wäre ein zugriffsschutz mit .htaccess, dass ist aber nicht das was ich meinte.

            ich meinte, dass du lediglich das verzeichnis listing abschalten sollst: http://www.trash.net/faq/htaccess.sh...iedeneoptionen, punkt Indexes
            I don't believe in rebirth. Actually, I never did in my whole lives.

            Kommentar


            • #7
              ok, danke für den hinweis. aber:

              ich habe eine .htaccess.
              inhalt: "Options -Indexes"

              normale eingabe: "www.domain.de/verwaltung/" : index.php wird aufgerufen

              wenn jemand kenntnis des inhalts des ordners hat, kann die datei "anfang.php" direkt aufgerufen werden. davor schützt auch die o.a. htaccess nicht.

              zu einer dateiauflistung kommt es nie, da ja eine index.php existiert, die aufgerufen wird, wenn nur der ordnername eingegeben wird.

              ich denke, ohne session geht es nicht.

              Kommentar


              • #8
                machs mit dem Tut nach Joel. Das reicht alle Male!

                Kommentar


                • #9
                  jupp, denn mal los!

                  ich hoffe schon jetzt auf späteren beistand

                  gruss, wolfgang

                  Kommentar


                  • #10
                    den solltest du bei dem Tut eigentlich nicht benötigen... Das ist wirklich gut!!!

                    Falls doch, dann würd ich mir gedanken machen

                    Kommentar


                    • #11
                      ... die gedanken sind frei...!

                      hier ein paar links zu tut's im netz, regarding sessions:

                      [http://www.trios.org/php/sessions/ englisch

                      http://www.edevcafe.com/docs/78.html englisch

                      http://www.huhny.de/article.php?sid=3 deutsch

                      http://www.develnet.org/26.html deutsch

                      http://www.dynamic-webpages.de/php/ref.session.php deutsch

                      Kommentar


                      • #12
                        ok, kein problem mit dem tut.

                        aber ich wusste doch, dass das nochnicht alles ist:

                        was tun, wenn register_globals=OFF ?

                        dann stehen mir in der gezeigten form die variablen nicht zur verfügung.

                        wie kriegt man die übergabe hin?

                        gruss, wolfgang

                        Kommentar


                        • #13
                          $_COOKIES[]
                          $_SESSION[]
                          $_POST[]
                          $_GET[]

                          Kommentar


                          • #14
                            sorry,
                            aber mit dieser antwort von TobiaZ kann ich nichts anfangen.

                            $_COOKIES[] $_POST[] und $_GET[] werden verwendet, um übergebene Variablen auszulesen.

                            wie soll man das denn in zusammenhang mit einer session verwenden, wenn register_globals=OFF gestellt sind?

                            beispiel script_1:

                            <?php
                            session_start();
                            session_register("username");
                            $username="tom";
                            ?>
                            code....

                            beispiel script_2:

                            <?php
                            session_start();
                            ?>
                            code...

                            mit register_globals=ON steht jetzt die variable $username zur verfügung,

                            mit register_globals=OFF jedoch nicht.

                            wie ist die lösung?

                            gruss, wolfgang

                            Kommentar


                            • #15
                              $_COOKIES[username]

                              a bisserl allgemeines Anlesen schadet nicht.

                              Kommentar

                              Lädt...
                              X