[php] htaccess

[Sascha Emondts]

>-----Original Message-----
>From: Marc Beyerlin [mailto:beyerlin_(at)_magic-garden.de]
>Sent: Thursday, May 02, 2002 1:36 PM
>To: php_(at)_phpcenter.de
>Subject: [php] htaccess
>Es  wird dann eine socketverbindung zum von htacces geschützen bereich
>geöffnet,
>und dann mit fputs der header mit den base64 verschlüsselten
>username:password
>paar mitgeschickt.
>funktioniert auch nur:bei jedem verweis auf ein biöd oder a
>href geht die
>popupbox vo htaccess auf,
>was ich ja eigentlich vermeiden wollte.

Hallo,

direkt vorne weg: das was ich hier jetzt erzähle ist nicht getestet, sondern
nur zusammengedacht.
Wenn Du Dich über Deinen Browser an einer .htaccess-Authentifizierung
anmeldest, dann merkt sich der Apache die Session-ID Deines Browsers (hat
nichts mit PHP-Sessions zu tun - der Browser verpasst sich mit jedem Start
eine eindeutige ID, die beim nächsten Start wieder anders ist). Wenn Du nun
versuchts via Socketverbindung einzuloggen, dann fehlt natürlich die ID des
Browsers, da er ja nicht derjenige war, der sich eingeloggt hat. Kommt die
nächste Anfrage direkt vom Browser, dann wird er als nicht berechtigt
angesehen und Du musst DIch neu anmelden.
Da es AFAIK keine Möglichkeit gibt diese Browser-Session-ID mit PHP
auszulesen, gibt es auch keine Möglichkeit die Socketverbindung so zu faken,
dass der Apache denkt die Verbindung käme vom Browser.

Demnach sollte der Versuch sich über Socketverbindung anzumelden stets beim
zweiten Klick wieder zu einem Logout führen.

Gruß,
Sascha