htaccess mit header() umgehen

**Abraxax** · 08.07.2004, 15:55

Re: htaccess mit header() umgehen

Original geschrieben von andik2000
Was gibts für Möglichkeiten?

du kannst es ja mal richtig machen. z.b. OHNE htpasswd

**andik2000** · 08.07.2004, 16:18

Wieso ohne? Das Verzeichnis in das ich springe muß auf jeden Fall per htaccess geschützt sein. Das hat div. Gründe.
Oder was meinst Du?

Grüße, Andi

**Shurakai** · 08.07.2004, 16:36

Mhm, mit header() sendest du vom Server zum Client, aber der Client muss das PW / Usernamen ja zum Server senden...

Würde also sagen dass das so nicht geht...

**Abraxax** · 08.07.2004, 16:37

Original geschrieben von andik2000
Wieso ohne? Das Verzeichnis in das ich springe muß auf jeden Fall per htaccess geschützt sein. Das hat div. Gründe.

und was hindert dich daran, die php funktion fpassthru() zu verwenden?

**andik2000** · 08.07.2004, 17:04

@Shurakai: Ahhh, jetzt machts "Bing"! Nun ist's mir klar.

Ok, ich versuch mal was. Ich könnte ja mit fopen() eine Verbindung zu mir selbst hestellen. Darin übergebe ich die Zugangsdaten. Diese wurden ja dann gesendet.
Dann gebe ich die aufgerufenen Datei mit der Dateiliste aus. Dann müßten alle Daten aufrufbar sein. Oder?

**wahsaga** · 08.07.2004, 17:07

Original geschrieben von andik2000
Ich könnte ja mit fopen() eine Verbindung zu mir selbst hestellen. Darin übergebe ich die Zugangsdaten. Diese wurden ja dann gesendet.

ja - vom server an den server.

dem client sind damit die zugangsdaten aber natürlich immer noch nicht bekannt, er hat als selber keinen direkten zugriff über http auf das verzeichnis.

**andik2000** · 08.07.2004, 17:18

Ja dumm, funktioniert nicht.
Ich bekomme zwar die Dateiliste als Ergebnis angezeigt, klicke ich dann aber da drauf, springt der htacces auf.

Im Prinzip eine echt simple Frage:
Wie kann ich htaccess-Daten an den Server übermitteln, dass es denkt, die Kommen vom User.
Langsam wird mir der Vorgang klar, dass alles, wass ich per PHP mache ja serverseitig geschieht und somit gar keine Bestätigung vom Client an den Server geschickt wird.

Aber wenn ich über zuvor genannte Methode auf einen fremden Server zugreife, kann ich mir Daten in einem geschützen Verzeichnis ziehen. Das habe ich schon gemacht. Warum klappt es dann nicht beim eigenen?

**Abraxax** · 08.07.2004, 17:31

wenn du nicht auf meine tipps eingehst, brauchen wir dir ja auch nciht mehr helfen ... oder?

**andik2000** · 09.07.2004, 16:03

Natürlich gehe ich auf Tipps ein. Aber wie ich es probiert habe, scheint fpassthru nicht zu funktionieren. Und auf die Frage, wie genau Du das mit "Richtig mache ohne htpasswd" meinst, kam noch keine Info.

Also noch mal Grundlegend:

- Ich möchte ein Verzeichnis schützen, in dem weitere Kundenverzeichnisse liegen. Dort liegen komplette Websites (auch ohne PHP).
- Der Kunde logt sich mit seinen individuellen Zugangsdaten ein und erhält eine Liste seiner Projekte.
- Diese können angeklickt werden, das Projekt (Website) öffnet sich in einem neuen Fenster.
- Es muß sicher gestellt sein, dass nach dem Schließen des Browsers, die Besuchte Seite nicht mehr duch die Browser-History aufzurufen ist.
- Auch dürfen keine Passwörter in der URL auftauchen (wie bei http://user

w@www... )

So siehts aus. Hat bisher auch funktioniert, bis auf die Sicherheitslücke, dass einmal kurz ein Javascript mit einem Redirect geladen wird, welches die Daten für den htaccess enthält. Das soll jetzt raus.

Das muß doch irgendwie gehen?

Dank für Eure Geduld!

Grüße, Andi

**wahsaga** · 10.07.2004, 12:11

Original geschrieben von andik2000
Das muß doch irgendwie gehen?

nein, no, njet, niente, never, c`est impossiblé

OffTopic:
irgendwas davon muss er doch eigentlich verstehen können, oder?

**Gizmo** · 10.07.2004, 16:59

Hallo,

wieso nein?

Wenn sich Benutzer mit den selben Namen und Passwort anmeldet wie in der .htpasswd hinterlegt, dann kann ich darauf zugreifen und diese Daten senden. Die Frage ist nur, ob wie die erste Registrierung durchgeführt wird. Über Apache AUTH, dann funtzt es.

Versuchen über $PHP_AUTH_USER und $PHP_AUTH_PW

Bitte beachten, das in den Variablen die Inhalte unverschlüsselt sind.

**wahsaga** · 12.07.2004, 09:07

Original geschrieben von Gizmo
wieso nein?

weil-es-nun-mal-so-ist[TM].

Wenn sich Benutzer mit den selben Namen und Passwort anmeldet wie in der .htpasswd hinterlegt, dann kann ich darauf zugreifen und diese Daten senden. Die Frage ist nur, ob wie die erste Registrierung durchgeführt wird. Über Apache AUTH, dann funtzt es.

wir reden hier von HTTP AUTH, oftmals salopp als "schutz mit htaccess" bezeichnet.

dabei muss der anfragende client dem webserver auf die aufforderung hin die logindaten übermitteln, andererseits erfolgt ein 403 forbidden statuscode.

wem bitte willst du da irgendwelche übergebenen daten "senden"?

**andik2000** · 26.07.2004, 16:37

Habe eben festgestellt, dass dass Verfahren:
http://user

assword@www.domain.de unter Windows XP nicht funktioniert.

Muß man da was anders machen, oder geht das generell dort nicht?

Grüße Andi

**wahsaga** · 26.07.2004, 16:48

Original geschrieben von andik2000
Habe eben festgestellt

wunderbar ... den umstand, dass das mit aktuellem service pack für den IE nicht mehr "geht", weil es ein sicherheitsrisiko darstellt (URL-spoofing), haben die meisten anderen schon lange vor dir bemerkt, weil es in diversen medien des öfteren zu lesen war, und auch hier im forum bei solchen fragen wie deinen schon des öfteren angemerkt wurde.

htaccess mit header() umgehen