Gallerian suojaus .htaccess tiedostolla

Arkisto-ohjelmia, selausohjelmia, kuva-albumeja webbiin tekeviä
Vastaa Viestiin
artur
Viestit: 3531
Liittynyt: Huhti 24, 2003 15 : 41
Paikkakunta: Tuusula
Viesti:

Gallerian suojaus .htaccess tiedostolla

Viesti Kirjoittaja artur »

Moi,

Jos haluaisin suojata gallerian salasanalla .htaccess tiedostolla, voinko tehdä niin että se kysyisi ainoastaan salasanaa eikä käyttäjätunnusta ja salasanaa?
Cloudcity. Uuden ajan pilvipalvelu.
Seq
Viestit: 305
Liittynyt: Huhti 19, 2006 1 : 47
Paikkakunta: Tku
Viesti:

Viesti Kirjoittaja Seq »

Mielestäni et saa sitä htaccessilla, mutta javascriptillä asia hoituu.
olli R
Viestit: 4808
Liittynyt: Tammi 10, 2003 9 : 21
Viesti:

Viesti Kirjoittaja olli R »

.htaccess tai siis "basic authentication" vaatii käyttäjänimen. Joku sopiva web-serverin modi voisi tarjotakin turvaa pelkällä salasanalla.

Melkein tuntuisi, että jos et tarvitse erillisiä käyttäjiä, niin mihin suojaa edes tarvitaan. Luot hakemiston ja sinne oman indeksitiedoston (siis jotain muuta kuin index.html), et tee siihen mistään linkkejä ja annat osoitteen vain sitä käyttäville. Estä myös hakemiston sisällön näkyminen joko .htaccessin "Options -Indexes" -direktiivillä tai tyhjällä index.html -tiedostolla. Sama koskee myös ylempää hakemistoa.

JavaScript ei ainakaan suojaa yhtään sen enempää kuin hakemiston piilossa pitäminen.
jmr
Viestit: 526
Liittynyt: Maalis 15, 2003 18 : 54
Paikkakunta: Lahti

Viesti Kirjoittaja jmr »

olli R kirjoitti:JavaScript ei ainakaan suojaa yhtään sen enempää kuin hakemiston piilossa pitäminen.
Tämä oli ihan hyvä huomio ;D Jos käyttäjä estää selaimesta javascriptit, niin mitään salasanaa ei kysytä ja sivulle pääsee heittämällä...

Valmiita PHP-kielisiä pätkiä pitäisi netistäkin löytyä, jos palvelin sitä vain tukee...jos ei tue, niin palvelin vaihtoon, koska nykyään asiakkaan pitää osata vaatia enemmän.
olli R
Viestit: 4808
Liittynyt: Tammi 10, 2003 9 : 21
Viesti:

Viesti Kirjoittaja olli R »

jmr kirjoitti:Tämä oli ihan hyvä huomio ;D Jos käyttäjä estää selaimesta javascriptit, niin mitään salasanaa ei kysytä ja sivulle pääsee heittämällä...

Valmiita PHP-kielisiä pätkiä pitäisi netistäkin löytyä, jos palvelin sitä vain tukee...jos ei tue, niin palvelin vaihtoon, koska nykyään asiakkaan pitää osata vaatia enemmän.
Olennaista Javascriptissä ei ole ajamisen ohittaminen, vaan se, että se ajetaan selaimessa. Javascript-ohjelma ladataan selaimeen, se on siis selaajan nähtävissä. Jotta Javascript voisi hakea kuvia, täytyy kuvien olla palvelimella jotenkin avoimina. Mitään suojaa ei ole.

PHP:ssakin on hiukan ongelmia, koska jotta kuvat olisivat suojattu, ne eivät saa olla serverin avoimissa hakemistoissa, vaan jossakin maailmalta suojatussa hakemistossa. PHP-scripti sitten lukee nuo kuvat ja välittää ne selaimelle, jos session autentikointi on kunnossa.
Jokainen HTML:n kuvalinkki pitää koodata kutsumaan PHP-skriptiä tai koko galleria koodataan PHP:llä. Homma on hiukan tehotonta ja koodaamista paljon. Serverin omat modulit voinevat hoitaa homman paremmin ja gallerian voisi tehdä puhtaalla HTML:llä. Tai voisi käyttää jotain valmista galleria-softaa, jossa on salasanatunnistus mukana.
oh6jih
Viestit: 905
Liittynyt: Joulu 01, 2005 14 : 13
Paikkakunta: Seinäjoki
Viesti:

Viesti Kirjoittaja oh6jih »

Linkki

Jos koodaaminen taittuu niin tuossa on melkein valmis pätkä. Teet formin mikä kysyy pelkän salasanan ja lähetät sen tuolle php-koodille. Koodiin voit laittaa sitten käyttäjätunnuksen valmiiksi.

Ehkä turhan paljon askartelua sen vuoksi ettei tarvitse kirjoittaa käyttäjätunnusta?

.make
olli R
Viestit: 4808
Liittynyt: Tammi 10, 2003 9 : 21
Viesti:

Viesti Kirjoittaja olli R »

oh6jih kirjoitti:Jos koodaaminen taittuu niin tuossa on melkein valmis pätkä. Teet formin mikä kysyy pelkän salasanan ja lähetät sen tuolle php-koodille. Koodiin voit laittaa sitten käyttäjätunnuksen valmiiksi.
Sitten varovasti siellä. Lukemalla koko jutun löytää tämän:
PHP-based authentication isn't like .htaccess or server-based authentication. A layer of security is not placed over all the contents of an entire directory. Instead, PHP-based authentication takes place on a page-by-page basis. If you redirect the user to a new page, you should still check for a value for $PHP_AUTH_USER and $PHP_AUTH_PW, to avoid direct-access by rogue visitors to the target redirection page.
Eli tämä koodi on vain salasanan kysyvä ja tarkastava. Se ei lisää mitään turvallisuutta muuhun kuin palasen sisältävään PHP-koodiin. Kuvatiedostohin ei voi lisätä PHP:tä, joten jos niihin viitataan PHP:ssä <IMG>-tagilla, ne ovat luettavissa ilman autentikointiakin. Edelleen suojaus on yhtä vahva kuin URL:n julkisesti kertomatta jättäminen.

Serverin .htaccess -metodin idea on, että kaikki tiedostot hakemistossa ovat suojattuja, riippumatta tiedoston tyypistä. Se on loppujen lopuksi varsin vahva, ja ongelmana on lähinnä tunnuksen ja salasanan kulkeminen verkossa avoimina. Paremmista servereistä kuten Apachesta löytyy tähänkin ongelmaan ratkaisuja.
oh6jih
Viestit: 905
Liittynyt: Joulu 01, 2005 14 : 13
Paikkakunta: Seinäjoki
Viesti:

Viesti Kirjoittaja oh6jih »

Joo mun moka, en päivällä ehtinyt lukea tota scriptiä sen tarkemmin läpi. Tarkemmin ajateltuna htaccesin salasanaa ei ilmeisesti pysty syöttämään muuten kuin siihen 'aitoon' salasanakyselyyn... Yksi vaihtoehto tietenkin on jos on apache ja mod_rewrite käytössä:

suojattuun hakemistoon .htaccess -tiedosto:

Koodi: Valitse kaikki

Options +FollowSymlinks
RewriteEngine on
RewriteRule ^(.*) http://www.omasivu.com/haesivu.php?$1 [nc]
Nyt haesivu.php voi tarkistaa onko käyttäjä tunnistettu. Mutta edelleen mielestäni turhaa kikkailua pelkästään käyttäjätunnuksesta luopumista varten...
artur
Viestit: 3531
Liittynyt: Huhti 24, 2003 15 : 41
Paikkakunta: Tuusula
Viesti:

Viesti Kirjoittaja artur »

oh6jih kirjoitti:Mutta edelleen mielestäni turhaa kikkailua pelkästään käyttäjätunnuksesta luopumista varten...
Miten sen nyt ottaa, kysymyksessä on wap portaali jota tullaan käyttämään usein, joten tuon tunnuksen kirjoittaminen on sikäli hankalaa kun ei tarvitsisi kuin pelkän salasanan syöttää. Cookiet sun muut tavat varmentaa käyttäjä ja pitää kirjattuna ovat aika epävarmoja mobiilipäätteissä, paitsi htaccess toimii puhelimella kuin puhelimella. Sen takia kysyin alkuperäisen kysymykseni.
oh6jih
Viestit: 905
Liittynyt: Joulu 01, 2005 14 : 13
Paikkakunta: Seinäjoki
Viesti:

Viesti Kirjoittaja oh6jih »

artur kirjoitti:Miten sen nyt ottaa, kysymyksessä on wap portaali jota tullaan käyttämään usein, joten tuon tunnuksen kirjoittaminen on sikäli hankalaa kun ei tarvitsisi kuin pelkän salasanan syöttää. Cookiet sun muut tavat varmentaa käyttäjä ja pitää kirjattuna ovat aika epävarmoja mobiilipäätteissä, paitsi htaccess toimii puhelimella kuin puhelimella. Sen takia kysyin alkuperäisen kysymykseni.
Jos toteutus on tehty php:llä, session id:n voi viedä myös urlissa, jolloin päätteeltä ei juuri ominaisuuksia tarvitse. Voihan tuon toteuttaa muissakin kielissä mutta php:ssä tuon toiminta on suht automaattista. Onko käyttäjillä kuitenkin oma salasanansa kullakin? Luulen että htaccesista ei tuohon apuja löydy, vaan joudut koodaamaan sen itse.

.marko
artur
Viestit: 3531
Liittynyt: Huhti 24, 2003 15 : 41
Paikkakunta: Tuusula
Viesti:

Viesti Kirjoittaja artur »

oh6jih kirjoitti:Jos toteutus on tehty php:llä, session id:n voi viedä myös urlissa, jolloin päätteeltä ei juuri ominaisuuksia tarvitse. Voihan tuon toteuttaa muissakin kielissä mutta php:ssä tuon toiminta on suht automaattista. Onko käyttäjillä kuitenkin oma salasanansa kullakin? Luulen että htaccesista ei tuohon apuja löydy, vaan joudut koodaamaan sen itse.

.marko
Perlillä toteutus, mutta olet oikeassa, voin laittaa koodatun salasanan siihen urliin jossa sitten joka skriptissä tarkistus. Eipä tullut mieleen. Kaikilla käyttäjillä vain yksi ja sama salasana. Kiitokset vinkistä!
Seq
Viestit: 305
Liittynyt: Huhti 19, 2006 1 : 47
Paikkakunta: Tku
Viesti:

Viesti Kirjoittaja Seq »

artur kirjoitti: Perlillä toteutus, mutta olet oikeassa, voin laittaa koodatun salasanan siihen urliin jossa sitten joka skriptissä tarkistus. Eipä tullut mieleen. Kaikilla käyttäjillä vain yksi ja sama salasana. Kiitokset vinkistä!
Jos sulla on siellä joku kanta, voit tietty laittaa vaan juoksevan numeron, niin sitä salasanaa ei voi selvittaa urlista.

Modperl vai cgi?
artur
Viestit: 3531
Liittynyt: Huhti 24, 2003 15 : 41
Paikkakunta: Tuusula
Viesti:

Viesti Kirjoittaja artur »

Seq kirjoitti:Jos sulla on siellä joku kanta, voit tietty laittaa vaan juoksevan numeron, niin sitä salasanaa ei voi selvittaa urlista.

Modperl vai cgi?
cgi ja flatfile tietokanta
oh6jih
Viestit: 905
Liittynyt: Joulu 01, 2005 14 : 13
Paikkakunta: Seinäjoki
Viesti:

Viesti Kirjoittaja oh6jih »

Seq kirjoitti: Jos sulla on siellä joku kanta, voit tietty laittaa vaan juoksevan numeron, niin sitä salasanaa ei voi selvittaa urlista.

Modperl vai cgi?
Joo ei kannata sitä (edes kryptattua) salasanaa laittaa siihen urliin vaan onnistuneella sisäänkirjautumisella generoidaan joku satunnainen tekstinpätkä jota liikutellaan. En tiedä onko perliin toteutettu minkäänlaista sessionhallintaa, mutta voihan sen satunnaistekstin sitten tallentaa johonkin tilapäistiedostoon josta se sitten tarkistetaan...
Seq
Viestit: 305
Liittynyt: Huhti 19, 2006 1 : 47
Paikkakunta: Tku
Viesti:

Viesti Kirjoittaja Seq »

oh6jih kirjoitti:Joo ei kannata sitä (edes kryptattua) salasanaa laittaa siihen urliin vaan onnistuneella sisäänkirjautumisella generoidaan joku satunnainen tekstinpätkä jota liikutellaan. En tiedä onko perliin toteutettu minkäänlaista sessionhallintaa, mutta voihan sen satunnaistekstin sitten tallentaa johonkin tilapäistiedostoon josta se sitten tarkistetaan...
Ei ole sellaista, kuin php:ssä, mutta http-post:ssa ja get:ssä kulkee kyllä sessio-hashit ja käyttäjä-id:t.

Ne määtätyt avaimet ja arvot vaan pitää muistaa kuljettaa mukana, joko post-formin hiddeneinä taikka linkissä yms.

Perlissä on ihan sama tilanne olioiden kanssa, kyllä ne on, jos implementoi.
ltuuri
Viestit: 313
Liittynyt: Marras 08, 2004 13 : 07

Viesti Kirjoittaja ltuuri »

oh6jih kirjoitti:En tiedä onko perliin toteutettu minkäänlaista sessionhallintaa, mutta voihan sen satunnaistekstin sitten tallentaa johonkin tilapäistiedostoon josta se sitten tarkistetaan...
Taitaa olla valinnan varaa, CGI::Application, CGI::Session, Apache::Session ...
Vastaa Viestiin