phpbar.de logo

Mailinglisten-Archive
AW: [php] OT Apache: Username und Passwort per URL an htaccess

AW: [php] OT Apache: Username und Passwort per URL an htaccess

Joerg Behrens behrens at takenet.de
Mit Feb 4 17:56:05 CET 2004 



----- Original Message ----- 
From: "Sebastian Tobias Mendel genannt Mendelsohn"
<lists at sebastianmendel.de>
To: "deutschsprachige PHP-Mailingliste" <php at phpbar.de>
Sent: Wednesday, February 04, 2004 5:24 PM
Subject: Re: AW: [php] OT Apache: Username und Passwort per URL an htaccess


> Joerg Behrens wrote:
>
> > ----- Original Message ----- 
> > From: "Sebastian Tobias Mendel genannt Mendelsohn"
> > <lists at sebastianmendel.de>
> > To: "deutschsprachige PHP-Mailingliste" <php at phpbar.de>
> > Sent: Wednesday, February 04, 2004 4:09 PM
> > Subject: Re: AW: [php] OT Apache: Username und Passwort per URL an
htaccess
> >
> >
> >
> >>Markus Ehrlich wrote:
> >>
> >>
> >>>>weclher Browser?
> >>>
> >>>
> >>>>der IE verhindert das glaube ich mit den aktuellsten Patches, weil es
da
> >>>>eine Sicherheitslücke gab! man konnte dem Benutzer eine falsche Seite
> >>>>vorgaukeln ...
> >>>
> >>>
> >>>Ach ja klar da hätte ich selbst drauf kommen müssen. Sch... IE Patch
> >
> > gestern
> >
> >>>erst installiert. Der scheint das nun zu unterdrücken.
> >>>
> >>>Jetzt brauch ich ne andere Lösung mittels URL an htaccess User und
> >
> > Passwort
> >
> >>>zu übergeben. Hat da jemand eine Idee? Ich dachte über URL
modifizieren.
> >
> > Ich
> >
> >>>hänge einfach Username und Passwort an, hol mir in der .htaccess U & P
> >
> > als
> >
> >>>Variable, streiche beides aus der URL und mache die Authentifizierung.
> >>>
> >>>An der Umsetzung haperts natürlich. Jemand Erfahrung in der htaccess
> >>>Programmierung?
> >>
> >>wenn du das so machen willst brauchst wohl die rewrite-engine
> >>
> >>http://httpd.apache.org/docs-2.0/mod/mod_rewrite.html
> >>bzw.
> >>http://httpd.apache.org/docs/mod/mod_rewrite.html
> >
> >
> > Daran mag ich nicht glauben. Die User und Passwords wurden schon immer
als
> > Teil der Requestheader versendet oder nicht? Modrewrite schreibt URL um
aber
> > keine Header.
>
> woran magst du nicht glauben?

Das Mod_rewrite die Loesung des Problems ist.

>
> > War es nicht auch schon immer so das die RFC dies fuer HTTP nicht
expliziet
> > beschrieben hat sondern nur im FTP Part bzw. bei  der generellen
> > Beschreibung einer URI ?
>
> ich weiß nicht ob der Browser oder Server die angaben vor dem @ handelt!

Der Browser. Du findest auch keine User/Passwd im access.log da sie der
Browser als Requestheader sendet.
Nach zulesen in http://rfc.net/rfc2617.html#s3.2.2


Gruss
Joerg


-- 
TakeNet GmbH   Mobil: 0171/60 57 963
D-97080 Wuerzburg  Tel: +49 931 903-2243
Alfred-Nobel-Straße 20  Fax: +49 931 903-3025

php::bar PHP Wiki   -   Listenarchive