Passwortschutz ohne Datenbanken

Xavier

Xavier

Mitglied
Hallo zusammen,

Ich möchte auf einer Vereinsseite einen Bereich einbauen, der nur den Mitgliedern per Passwort zugänglich ist. Dieses Passwort soll nicht automatisch generiert und verschickt werden, der Benutzer muss aber später die Möglichkeit haben, es zu ändern.

Gibt es eine Lösung, die auf einfachste Art und Weise und ohne Datenbanken in eine bestehende Seite eingebaut und bewirtschaftet werden kann?

Besten Dank für eine Antwort! Gruss Davisoff


 
Also wo möchtest du denn die Passwörter aller benuzter ablegen? in einer Textdatei? Oder wie stellst du dir das vor?

Möglich wäre es wenn alle Benutzer dasselbe Passwort verwenden würden, dann könntest du das über .htaccess machen.

Aber wenn die Benutzer noch ihre Passwörter ändern können sollen, wirst du um eine Datenbank nicht drumherumkommen. Auch wenn du die PW's im Klartext in eine Textdatei liegen würden, wäre diese Textdatei halt dann irgendwie die Datenbank. Wieso darfs denn keine Datenbank sein?

gruss Sandro
 
Mann, das geht aber schnell hier
biggrin.gif


Besten Dank für Deine Antwort, Sandro. Warum keine Datenbank, fragst Du. Nun, ich habe ganz einfach keine Ahnung, über das ganze Drumherum und gebe ganz ehrlich zu, dass ich mich eigentlich gerne darum drücken würde, dieses grosse Gebiet erforschen zu müssen...

Mit nur einem Passwort zu arbeiten wäre natürlich eine Möglichkeit, aber nicht befriedigend. Dafür gäbe es sogar ein simples Javascript.

Jetzt aber mal angenommen, ich hätte Zugriff auf einen Server (hab ich) auf dem eigentlich die ganzen Voraussetzungen gegeben sind, um Datenbank-Applikationen wie meinen Passwortschutz einzurichten.

Da fehlt mir aber eben das Know-How wie schon oben beschrieben. Ideal wäre hier also ein Tutorial, mit einer Schritt-für-Schritt Beschreibung für technische Banausen wie mich...
 
@davisoff

Eine Datenbank ist da nicht unbedingt notwendig.

So gut wie jeder Provider bietet im Konfigurationmenü die Einstellung von Passwörtern für bestimmte Bereiche der gehosteten Seite an.

Die werden dann meist in die Dateien .htacces / .htpasswd geschrieben.

Du musst also nach einem Skript suchen, dass dir die Passwörter in .htacces / .htpasswd zurücksetzen/neuschreiben kann.

Das kann aber am Ende sehr knifflig sein, weil viel davon abhängt, wie der Provider die Rechte eingestellt hat.

Um diesen Problemen aus dem Weg zu gehen setzen viele gleich Datenbanken ein um die Passwörter abzulegen.
M.E. hat man da weniger Stress.
 
Was soll denn auf dieser Seite für Mitglieder alles drauf sein? Evtl. kannst du da ein lizenzkostenfreies Script nehmen. Die Meisten verfügbaren Scripts für Inhalte und zB Terminverwaltung bieten Benutzerverwaltung inklusive. Und da ist dann meistens auch gleich eine Passwort-vergessen-funktion und vieles mehr dabei. Das hört sich komplizierter an als es ist, wenn du mehr Details preisgibst, könnte man auch detaillierter antworten.

Gruss Sandro
 
Hallo Sandro,

Also da soll z.B. der Vorstand Einblick haben ins Kassenbuch, die Sekretärin braucht die Adress- und Maillisten, Vereinsinterne Meldungen, vertrauliche Publikationen usw. sollen gelesen werden können und das von verschiedenen Leuten, kurz, da ist alles drin, was nicht in den öffentlichen Bereich der Webseite gehört.

Es geht dabei aber nur um das Ansehen, nicht aber um das Bearbeiten von Inhalten.
 
QUOTE Die werden dann meist in die Dateien .htacces / .htpasswd geschrieben.

Du musst also nach einem Skript suchen, dass dir die Passwörter in .htacces / .htpasswd zurücksetzen/neuschreiben kann.



Versuche es doch mal mit DMA`s htaccess-Generator v.1.6. Damit kannst du für einen Bereich mehre User mit verschiedenen Passwörter den Zutritt erlauben. Ich benütze es um meine Adminbereiche zu schützen. Wie gut es für den Mehr-User-Einsatz geeignet ist weiss ich nicht.
 
> Sandro, was meinst Du mit verwaltet / bearbeitet? Schau Dir die Seite mal an http://www.edelweiss-riders.ch. Sie wird mit einem "normalen" HTML-Editor bearbeitet, per FTP auf den Server geladen und verwaltet von einer Person. Ist es das, was Du wissen wolltest?

Gruss

Davisoff
 
Wenn du eine Groupware-Lösung einsetzen würdest, wäre alles aufsmal drin:

- Benutzer/Gruppenverwaltung umd Zugriffsbeschränkung
- Web-Basierte Aktualisierung und Dateiupload (ohne FTP Programm)
- Gruppenkalender/Mail/Task etc

Halt alles was so eine Groupware so bietet...

Du hast gesagt:
QUOTE
Es geht dabei aber nur um das Ansehen, nicht aber um das Bearbeiten von Inhalten.



Deshalb hab ich mir gedacht dass ihr schon eine Anwendung habt, welche das alles kann...

Falls du dir ein Bild machen möchtest von so einer Groupware, schau dir doch diebeiden mal an:

moregroupware user:admin pw:demo
eGroupWare user:admin pw:demo

Gruss Sandro
 
Hi,

ein sehr einfacher und robuster Lösungsansatz wäre die Variante mit einer statischen .htaccess.

Wenn du beispielsweise 3 interne Bereiche in den Verzeichnissen "Vorstand","Sekretariat" und "Mitglieder" einrichtest, und jedes dieser Verzeichnisse wäre mit einem eigenen Kennwort geschützt. Wäre das Problem damit gelöst? Oder bestehst du auf eine Benutzerverwaltung mit einstellbaren Kennwörtern?

Meine Vermutung ist, dass der Mehrwert durch individuelle Kennwörter den Mehraufwand in deinem Fall nicht rechtfertigt.

SloMo
 
Hallo Ansgar, Rainer und SloMo,

Danke für eure Tipps. Ich denke, das ich mal so anfangen sollte. Kann man ja noch immer zu einem späteren Zeitpunkt ausbauen.

Ich hab mir also den DMA's htaccess-Generator runtergeladen und auf dem Server installiert. So weit so gut. Fangen wir also an:

1. "neuen Admin-Bereich erstellen"
2. "Bereich mit nur einem User anlegen"
3. Ich nenne den Bereich "Test", gebe dem User den Namen "Theo" und gebe als Passwort 2x "Tester" ein und speichere das Ganze
4. Ich bekomme folgende Meldung:

Die .htpasswd wurde mit folgendem Inhalt gespeichert:
Theo:$1$6o4.Vm..$6jbewcqdusFwZTNNR0/GZ.

Die .htaccess wurde mit folgendem Inhalt gespeichert:

AuthType Basic
AuthName "Test - "
AuthUserFile /.htpasswd02
require valid-user

Was mach ich jetzt damit?
unsure.gif

 
QUOTE Was mach ich jetzt damit?


Jetzt sollte das Verzeichnis, in dem .httaccess und .httpasswd liegen, nur noch nach einer Passworteingabge aufrufbar sein.
 
> ansgar

okay, langsam mach ich mich lächerlich, aber noch mal rekapitulieren:

- ich habe also ein Verzeichnis angelegt das ich schützen möchte
- dort befindet sich die Datei access.php (der Generator)
- Mittels den beschriebenen Angaben wurden zwei Files erzeugt
- die heissen ".htaccess" und ".htpasswd01"

Wenn ich jetzt die URL des Verzeichnis angebe, erscheint nur die Bemerkung "Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen"

Achja, das geschützte Verzeichnis heisst http://www.edelweiss-riders.ch/members
 
Dann hast du wohl etwas falsch gemacht. Eigentlich müsste ein Fenster auftauchen, in dem du Name und Passwort eingibtst. So wie hier.
 
Hast du da auch eine Index Datei drin? Weil bei mir kommt

Directory Listing Denied
This Virtual Directory does not allow contents to be listed.

Das kommt, wenn es verboten ist, ein Directory Listung aufzurufen.
Entweder ist das festeingestellt oder man kann es über seinen Hoster-Admin-Bereich einstellen.
 
QUOTE Directory Listing Denied
This Virtual Directory does not allow contents to be listed.

Das kommt, wenn es verboten ist, ein Directory Listung aufzurufen.
Entweder ist das festeingestellt oder man kann es über seinen Hoster-Admin-Bereich einstellen.


Da fangen jetzt schätze ich die Probleme mit den Rechteeinstellungen an.
Am sinnvollsten wäre, den Support des Providers zu fragen.
Der sollte da weiterhelfen können.
 
Hallo Ihrs,

Sorry wenn ich mich nicht mehr gemeldet resp. nicht bedankt habe für eure Tipps. Ich habe mir da einen ganz bösen Virus eingefangen, für einmal nicht auf meiner Kiste. Aber jetzt gehts wieder einigermassen und ich freue mich, euch endlich schöne Festtage zu wünschen und euch wieder mit meinen Fragen belästigen zu können...
tongue.gif


Wir waren da mal bei htaccess steckengeblieben und ich habe da tatsächlich auf einem der Server auf denen ich Zugriff habe, DMA`s htaccess-Generator v.1.6 installieren können.

Was jetzt natürlich interessant zu wissen wäre: Wie viele User kann ich denn nun da ablegen resp. kann ich zu einem späteren Zeitpunkt noch User hinzufügen? Ich will ja, dass jeder User sein persönliches Passwort selbst bestimmen kann.


Greets

 
Hallo,

nach den Daten, die dort zugänglich gemacht werden sollen, möchte ich noch auf zwei Sachen aufmerksam machen.

1.) Sollte der Bereich nur verschlüsselt (SSL) aufrufbar sein.
2.) Ich würde eine bessere Lösung nehmen als ".htaccess", ich kann mit meiner Anbindung mind. 10 Passwörter in der Sekunde checken ohne aufgehalten zu werden und die meisten Browser speichern HTACCESS Passwörter im Klartext und übermitteln diese auch wärend der ganzen Sitzung so. Von daher ist das System recht anfällig.



MfG Sascha

PS: Sorry, auch wenn ich mich unbeliebt mache, eine Plaintext-Datei ist noch lange keine Datenbank, selbst wenn dort Daten gespeichert werden.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben