Zugriffsregelung htaccess oder per PHP

[Jor]

Hallo zusammen,

mich beschäftigt folgendes: Wie sichere ich am Besten die Seiten vor unberechtigten Zugriff? Ich möchte vermeiden, dass das Auslesen (spying) der Seiten durch User, Roboter (Suchmaschine) usw. nicht möglich ist, oder mindestens erheblich . Eine Anmeldung,
wie hier z. B. an unserem Forum, finde ich aber eleganter.
Wie macht ihr das i.d.R.? Was soll ich beachten, welcher Weg ist der sichere?

Habe schon gegoolt, aber nicht wirklich das Richtige dazu gefunden.

Hoffe auf einige Vorschläge, sage hier schonmal danke!

[magpie]

Wenn du verhindern willst, dass ein Roboter deine Seitre durchsucht, bringt dir der Einsatz von PHP wenig. Das Verhalten der Robots kannst du mit einer robot-Datei (siehe hier http://www.webmeister.ch/secrets/robots.htm) regeln. Ob htaccess einen Einfluss auf die Robots hat weiss ich nicht.

Wenn du die Seite mit PHP schützen willst, musst du die ganze Sicherheit selber programmierne (oder was fertiges nehmen). Mit PHP kannst du auch den Zugriff auf Verzeichnisse nicht steuern was mit htaccess geht.

Beides hat seine Vor- und Nachteile. Du kannst natürlich auch beides miteinander kombinieren.


magpie

[Jor]

Hi magpie,
Ich bin der Meinung, das durch htaccess geschützten Ordner/Inhalte nicht ausgelesen werden können, wenn die Authentifikation nicht erfolgreich war. Deshalb finde ich deinen Vorschlag sehr interessant, die Möglichkeiten zu kombinieren.
Ich würde das aber dann wie folgt umsetzen wollen: Anmeldung mittels PHP Seite in einem ungeschützen Bereich, Datenbankabfrage der eingegebenen Benutzerdaten, und bei Berechtigung eine Weiterleitung auf in einem htaccess geschützten Bereich (wodurch ja das Anmeldefenster aus dem System nicht
mehr angezeigt wird).
Aber wie kan ich der htaccess Funktion sagen, dass der aktuelle Benutzer authentifiziert ist, und das o. g. Fenster nicht mehr aufpoppt?
Gibt es dazu spezielle Informationen? Links?

[msi]

Hi magpie,
Ich bin der Meinung, das durch htaccess geschützten Ordner/Inhalte nicht ausgelesen werden können, wenn die Authentifikation nicht erfolgreich war. Deshalb finde ich deinen Vorschlag sehr interessant, die Möglichkeiten zu kombinieren.
Ich würde das aber dann wie folgt umsetzen wollen: Anmeldung mittels PHP Seite in einem ungeschützen Bereich, Datenbankabfrage der eingegebenen Benutzerdaten, und bei Berechtigung eine Weiterleitung auf in einem htaccess geschützten Bereich (wodurch ja das Anmeldefenster aus dem System nicht
mehr angezeigt wird).
Aber wie kan ich der htaccess Funktion sagen, dass der aktuelle Benutzer authentifiziert ist, und das o. g. Fenster nicht mehr aufpoppt?
Gibt es dazu spezielle Informationen? Links?

gar nicht, htaccess funktioniert auf einer anderen ebene als php.
wenn du ne php authentification machst, musst du alle anderen
dateien auch über php sichern, zB komplett sperren und php gibt
sie dann aus, wenn authentifiziert worden ist.

diese datien kannst du dann mit htaccess über deny from all sichern.
wenn die url gleich bleiben soll (im browser des andwenders) kannst
du mit htaccess über modrewrite jede seite auf eine php seite weiterleiten,
die dann wie o.b. die dateien ausgibt.

viel spaß beim googeln

[Jor]

Hi msi,
danke für die Info! Wie meinst du das mit "alle anderen Dateien auch mit PHP sichern"? Ein Roboter kommt da dann nicht irgendwie hintenrum dran?
(Ich bin noch nicht so versiert mit den Schutzmechanismen)
Wie sollen die Seiten gesperrt werden?

[ClausVB]

(...) Ein Roboter kommt da dann nicht irgendwie hintenrum dran? (...)

Noch einmal zum Mitschreiben: Für Roboter reicht die oben genannte "robots.txt" aus.

Es wäre sehr freundlich von Dir, wenn Du uns Rückmeldung geben würdest, warum Dir die "robots.txt" nicht ausreicht.

Ich persönlich habe nämlich nicht das Gefühl, dass Du den Hyperlink von "magpie" überhaupt besucht und gelesen hast.

PHP-Schutz und HTACCESS sind dazu da, um fremde User/Benutzer aus Verzeichnissen rauszuhalten. Wenn Du zum Beispiel nicht öffentliche Sitzungen eines Rates nur den Ratsmitgliedern zur Verfügung stellen willst. Roboter können diese Niederschriften dann natürlich auch nicht indizieren, aber dazu müsste IMHO die "robot.txt" ebenfalls ausreichen ... oder hast Du Beweise, die dagegen sprechen?

PHP und HTACCESS zu kombinieren ist für einen erfahrenen PHP-Programmierer nicht schwer, aber PHP-Grundlagen muss man schon können. Ich habe das für 40€ mal jemandem programmiert, der Akt-Modellen Zugriff auf die eigenen Bilder geben wollte.

Wenn Du es selbst programmieren möchtest ... noch einmal: Du brauchst es für Roboter NICHT! ... dann google mal nach:

PHP-Code:

header('WWW-authenticate: basic realm=DeinGeheimerBereich');
header('HTTP/1.0 401 Unauthorized'); 


und

PHP-Code:

$_SERVER['PHP_AUTH_USER'] 


Die HTACCESS zu verstehen ist auch wichtig, denn wenn Du nicht weißt, was Du tust, wirst Du es IMHO nicht schaffen, die Lösung selbstständig zu entwickeln.

Gruß
Claus

[Jor]

Hi Claus,

vielen Dank für deine Info! Doch, doch, gelesen habe ich den Link. Die Grundlagen von PHP machen mir auch keine Sorgen, lediglich war mein Versuch, das Verriegeln/Schützen von sensiblen Daten wichtig, und auch so, dass ich es direkt beim ersten Umsetzen richtig mache.
Die Robots.txt werde ich mir nochmal anschauen, das Verfahren ist mir nicht geläufig (wird es aber in Kürze sein ).
Beweise des Nichtfunktionierends habe ich natürlich nicht, war halt nur skeptisch. Meine Nachfrage war m. E. auch berechtigt, wie oft hat unser OS-Anbieter Windingsda schon gesagt, wir sind sicher... und dann... gab es doch ein Hintertürchen (oder auch einige mehr)!

Aber ich habe es ja jetzt mitgeschrieben....

Ich denke, dass ich jetzt alle Informationen zusammen habe, um den Schutz einzurichten, bzw. weiss ich jetzt, wonach ich genau suchen muss.
Danke an alle!