erweiterte .htaccess - Seite 4

kikakater · 16.11.2003, 22:40

@potassium: Den Sinn habe ich verstanden, mir war nur die Bedeutung des Fehlercodes 403 nicht zugegen. Ich habe es mit Directorylisting denied assoziiert.

kikakater · 16.11.2003, 22:48

Die Authentifizierung darf auch nicht über den Webserver gemacht werden, sondern über ein Formular.

Wenn ich eine URL mit existierendem Verzeichnis in der Adresszeile des Browsers eingebe, so ist zu diesem Zeitpunkt kein entsprechendes gramatneusiedel "4784q3bn785t4784 Cookie" namens 4784q3bn785t4784 vorhanden und insofern wird das Listen des Verzeichnisses abgelehnt. Für den User gramatneusiedel aber nicht, da er sich an entsprechender Stelle eingeloggt hat und deshalb das Cookie durch ein CGI angestossen vom Client-Browser angelegt wurde. Nur ein Ausloggen bzw. ein expire macht das Cookie wieder unwirksam.

mfg Kikakater

kikakater · 16.11.2003, 22:52

Alternativ zum Cookie könnte man die IP der Clientmaschine festhalten nach dem Einloggen und so das Listing machen (falls mit dieser IP ein login gemacht wurde) oder eine Seite oder Meldung anzeigen (wenn keine IP in den CGI gemachten Aufzeichnungen (z.B: Protokoll_IP.log) zu finden ist).

Potassium · 16.11.2003, 22:56

da ich mich mit cookies noch nicht beschäftigt hab, hab ich null ahnung wie das funzt.
was brauche ich dazu?

PS: webspace hat PHP4 (falls das was damit zu tun hat)

kikakater · 16.11.2003, 23:02

Die setcookie Funktion erledigt das. Den Wert des Cookies erhält man mit $_COOKIE['cookiename'].

kikakater · 16.11.2003, 23:05

Ich würde das Ganze aber mit der IP machen, denn ein Admin Benutzer sollte eigentlich keine Cookies akzeptieren (für ein Mehr an Sicherheit).

snowman · 17.11.2003, 10:12

mittels php: siehe Beispiel 2 auf der seite:
http://ch2.php.net/manual/de/function.scandir.php und dann gibst du diesen array aus.

gruss,
snowman

_m3 · 17.11.2003, 11:17

Zitat:

Original geschrieben von kikakater
Ich würde das Ganze aber mit der IP machen, denn ein Admin Benutzer sollte eigentlich keine Cookies akzeptieren (für ein Mehr an Sicherheit).

LOL. klar. Und was machts Du, wenn einer von hinter der FW kommt, wo 100+ Leute mit einer IP daher kommen?

kikakater · 17.11.2003, 12:54

Wenn jemand von so einer Stelle aus dem Admin Benutzer ein Directorylisting vollführen läßt - nach dem erfolgten Login - geht er das Risiko ein, daß alle anderen mit derselben IP auch auf das Directory zugreifen können, in dem Sinn, daß es durch scandir gelistet und danach angezeigt wird.

Wenn Du Deine Kreditkartennummer nicht unter Verschluß hältst, passiert es eben, daß jemand sie mißbraucht.

Man kann es zwar noch um das Verfahren mit dem Setzen eines Cookie anreichern, aber das nur nebenbei. Dann ist die IP alleine zuwenig, um eine Liste der Dateien zum Browser geschickt zu bekommen.

Ätschipetsch und Ende

Bitte nicht so tierisch ernst nehmen - Forumsböser

17.11.2003, 10:12	#37
snowman Inventar Registriert seit: 26.09.1999 Beiträge: 2.569	mittels php: siehe Beispiel 2 auf der seite: http://ch2.php.net/manual/de/function.scandir.php und dann gibst du diesen array aus. gruss, snowman ____________________________________ MediaMarkt? Ich bin doch nicht blöd, Mann! Vorsprung durch Technik Lesen Sie keine Anleitungen, FAQs, Readme - Files. Reine Zeitverschwendung. In den Newsgroups und Foren gibt es genug kompetente Leute, die mit großer Geduld immer wieder dieselben einfachen Fragen beantworten. Völlig kostenlos noch dazu!

16.11.2003, 22:40	#31
kikakater Inventar Registriert seit: 24.01.2001 Beiträge: 5.631	@potassium: Den Sinn habe ich verstanden, mir war nur die Bedeutung des Fehlercodes 403 nicht zugegen. Ich habe es mit Directorylisting denied assoziiert.

16.11.2003, 22:48	#32
kikakater Inventar Registriert seit: 24.01.2001 Beiträge: 5.631	Die Authentifizierung darf auch nicht über den Webserver gemacht werden, sondern über ein Formular. Wenn ich eine URL mit existierendem Verzeichnis in der Adresszeile des Browsers eingebe, so ist zu diesem Zeitpunkt kein entsprechendes gramatneusiedel "4784q3bn785t4784 Cookie" namens 4784q3bn785t4784 vorhanden und insofern wird das Listen des Verzeichnisses abgelehnt. Für den User gramatneusiedel aber nicht, da er sich an entsprechender Stelle eingeloggt hat und deshalb das Cookie durch ein CGI angestossen vom Client-Browser angelegt wurde. Nur ein Ausloggen bzw. ein expire macht das Cookie wieder unwirksam. mfg Kikakater

16.11.2003, 22:52	#33
kikakater Inventar Registriert seit: 24.01.2001 Beiträge: 5.631	Alternativ zum Cookie könnte man die IP der Clientmaschine festhalten nach dem Einloggen und so das Listing machen (falls mit dieser IP ein login gemacht wurde) oder eine Seite oder Meldung anzeigen (wenn keine IP in den CGI gemachten Aufzeichnungen (z.B: Protokoll_IP.log) zu finden ist).

16.11.2003, 22:56	#34
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	da ich mich mit cookies noch nicht beschäftigt hab, hab ich null ahnung wie das funzt. was brauche ich dazu? PS: webspace hat PHP4 (falls das was damit zu tun hat)

16.11.2003, 23:02	#35
kikakater Inventar Registriert seit: 24.01.2001 Beiträge: 5.631	Die setcookie Funktion erledigt das. Den Wert des Cookies erhält man mit $_COOKIE['cookiename'].

16.11.2003, 23:05	#36
kikakater Inventar Registriert seit: 24.01.2001 Beiträge: 5.631	Ich würde das Ganze aber mit der IP machen, denn ein Admin Benutzer sollte eigentlich keine Cookies akzeptieren (für ein Mehr an Sicherheit).

17.11.2003, 12:54	#39
kikakater Inventar Registriert seit: 24.01.2001 Beiträge: 5.631	Wenn jemand von so einer Stelle aus dem Admin Benutzer ein Directorylisting vollführen läßt - nach dem erfolgten Login - geht er das Risiko ein, daß alle anderen mit derselben IP auch auf das Directory zugreifen können, in dem Sinn, daß es durch scandir gelistet und danach angezeigt wird. Wenn Du Deine Kreditkartennummer nicht unter Verschluß hältst, passiert es eben, daß jemand sie mißbraucht. Man kann es zwar noch um das Verfahren mit dem Setzen eines Cookie anreichern, aber das nur nebenbei. Dann ist die IP alleine zuwenig, um eine Liste der Dateien zum Browser geschickt zu bekommen. Ätschipetsch und Ende Bitte nicht so tierisch ernst nehmen - Forumsböser

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)