Verzeichnisszugriff

[Bohrmaen]

Hey,

weiß net genau, ob das hier rein gehört, aber vielleicht kann ja wer helfen:

Ein Kunde von mir hat für seine Mitarbeiter je eine Subdomain angelegt. Auf dieser hat jeder seine eigene Indexfile mit Infos. Zudem sind hier Links zu persönlichen Dateien, die zum Download bereit stehen.

Die Subdomain ist Passwortgeschützt mit .htaccess. So, wenn der User also zugreift, wird einmal das Passwort eingegeben. Ist der User dann auf seiner Indexseite, und kickt die Downloads an, muss er dass Passwort erneut eingeben. Gibt es eine Möglichkeit, dass man lediglich einmal, beim ersten Zugriff auf die Indexseite das Passwort eingeben muss und dann nicht mehr einzeln für die Downloads?

Danke euch,
Greets
Andy

[cortex]

im grunde sollte ein verzeichnisschutz per .htaccess so funktionieren, wie du dir das vorgestellt hast. poste mal einen screenshot des web-verzeichnisses auf dem server...

cx

[Bohrmaen]

Hey Cortex!

danke für deine Kritik, wollte dich auch nicht in der Luft hängen lassen. habe nur noch nicht die struktur des verzeichnisses. habe meinem kunden geschrieben und darum gebeten, aber noch keine nachricht. aber klar, das hätte ich hier auch schon schreiben können, sorry. sobald ich des screeshot habe, schreibe ich wieder. danke Dir!!

greets
Andy

[Bohrmaen]

Zitat:

Zitat von cortex

im grunde sollte ein verzeichnisschutz per .htaccess so funktionieren, wie du dir das vorgestellt hast. poste mal einen screenshot des web-verzeichnisses auf dem server...

cx

hey cx,

hier nun der screemshot, is aus ws_ftp, hab grad keinen bessren client, hoff damit kannst was anfangen

thx
Andy

[cortex]

seltsam. wie wird die mitarbeiter-seite von aussen angesprochen;
zb. http:// mitarbeiter.domain.de ?

wie sind die mitarbeiter-spezifischen dokumente verlinkt;
relative oder absolute pfade?

ich habe beim verzeichnisschutz per .htaccess seltsame phänomene erlebt; oftmals gelang eine lösung nur durch try&error. wenn möglich, würde ich prinzipiell darauf verzichten, aber das hilft dir nun auch nicht weiter, hm?

cx

[Bohrmaen]

hey,

genau, die domain ist dann mitarbeiter.domain.de . wie die links aussehen, muss ich nochmal schauen. kann sein, dass es dann einen unterschied macht, ob es absolute oder relative pfade sind. teste es mal.

danke dir
greets
Andy

[Bohrmaen]

Zitat:

Zitat von cortex

seltsam. wie wird die mitarbeiter-seite von aussen angesprochen;
zb. http:// mitarbeiter.domain.de ?

wie sind die mitarbeiter-spezifischen dokumente verlinkt;
relative oder absolute pfade?

ich habe beim verzeichnisschutz per .htaccess seltsame phänomene erlebt; oftmals gelang eine lösung nur durch try&error. wenn möglich, würde ich prinzipiell darauf verzichten, aber das hilft dir nun auch nicht weiter, hm?

cx

drauf verzichten wäre in sofern net gut, da mir nix anderes einfällt :D also den login für die spezifischen seite kann ich ja auch bspw. mit nem php-login machen. aber wenn dann der mitarbeiter auf seiner seite is und die dateien laden will, sind diese ja nict mehr geschützt. sprich, ich könnte, wenn die dateien in einen nicht mit einer .htaccess geschützten verzeichnis liegen, und ich den link habe, darauf zugreifen. oder kann ich die files auch noch anders schütz?

thx

[cortex]

eine unkomplizierte lösung könnte bspw. so aussehen:

- index.php für mitarbeiter-login: die zugangsdaten (user/pass) hard-codiert (md5-hashed) im php-quelltext. seite könnte von aussen per .htaccess unzugänglich sein / nur zugriff aus dem internen ip-bereich gestatten.

- mitarbeiter-spezifische dokumente liegen in einem ordner, dessen name individuell nach login-daten des mitarbeiters unterschieden wird: zb. md5( user ) + md5( pass ) + md5( salt ).

keine "schöne" lösung (zb. verseuchte URI: name des ordners als web-pfad in der adresszeile sichtbar) aber leicht umzusetzen / geringer coding-aufwand. für eine kleine firma sollte das reichen...

cx

[Bohrmaen]

Zitat:

Zitat von cortex

eine unkomplizierte lösung könnte bspw. so aussehen:

- index.php für mitarbeiter-login: die zugangsdaten (user/pass) hard-codiert (md5-hashed) im php-quelltext. seite könnte von aussen per .htaccess unzugänglich sein / nur zugriff aus dem internen ip-bereich gestatten.

- mitarbeiter-spezifische dokumente liegen in einem ordner, dessen name individuell nach login-daten des mitarbeiters unterschieden wird: zb. md5( user ) + md5( pass ) + md5( salt ).

keine "schöne" lösung (zb. verseuchte URI: name des ordners als web-pfad in der adresszeile sichtbar) aber leicht umzusetzen / geringer coding-aufwand. für eine kleine firma sollte das reichen...

cx

hm ja das klingt gut. und da ja nur, im regelfall, der user ein passwort kennt, kommt auch nur er auf den ordern. japs das is gut, das werd ich so ma umsetzen. danke dir!

andy

[cortex]

problematisch sind natürlich log-files des servers oder die browser-history. die (langfristige) sicherheit der daten muss insofern hinterfragt werden.

tja nu... für wenig geld / aufwand ist selten etwas gescheites zu bekommen ,-

cx