Gallerian suojaus .htaccess tiedostolla
-
- Viestit: 3531
- Liittynyt: Huhti 24, 2003 15 : 41
- Paikkakunta: Tuusula
- Viesti:
Gallerian suojaus .htaccess tiedostolla
Moi,
Jos haluaisin suojata gallerian salasanalla .htaccess tiedostolla, voinko tehdä niin että se kysyisi ainoastaan salasanaa eikä käyttäjätunnusta ja salasanaa?
Jos haluaisin suojata gallerian salasanalla .htaccess tiedostolla, voinko tehdä niin että se kysyisi ainoastaan salasanaa eikä käyttäjätunnusta ja salasanaa?
- Artur
Porfolio: http://www.arturgajewski.com
Facebook: https://www.facebook.com/artur.gajewski.photography
Porfolio: http://www.arturgajewski.com
Facebook: https://www.facebook.com/artur.gajewski.photography
-
- Viestit: 305
- Liittynyt: Huhti 19, 2006 1 : 47
- Paikkakunta: Tku
- Viesti:
-
- Viestit: 4808
- Liittynyt: Tammi 10, 2003 9 : 21
- Viesti:
.htaccess tai siis "basic authentication" vaatii käyttäjänimen. Joku sopiva web-serverin modi voisi tarjotakin turvaa pelkällä salasanalla.
Melkein tuntuisi, että jos et tarvitse erillisiä käyttäjiä, niin mihin suojaa edes tarvitaan. Luot hakemiston ja sinne oman indeksitiedoston (siis jotain muuta kuin index.html), et tee siihen mistään linkkejä ja annat osoitteen vain sitä käyttäville. Estä myös hakemiston sisällön näkyminen joko .htaccessin "Options -Indexes" -direktiivillä tai tyhjällä index.html -tiedostolla. Sama koskee myös ylempää hakemistoa.
JavaScript ei ainakaan suojaa yhtään sen enempää kuin hakemiston piilossa pitäminen.
Melkein tuntuisi, että jos et tarvitse erillisiä käyttäjiä, niin mihin suojaa edes tarvitaan. Luot hakemiston ja sinne oman indeksitiedoston (siis jotain muuta kuin index.html), et tee siihen mistään linkkejä ja annat osoitteen vain sitä käyttäville. Estä myös hakemiston sisällön näkyminen joko .htaccessin "Options -Indexes" -direktiivillä tai tyhjällä index.html -tiedostolla. Sama koskee myös ylempää hakemistoa.
JavaScript ei ainakaan suojaa yhtään sen enempää kuin hakemiston piilossa pitäminen.
olli Rinne http://www.digifaq.info/
-
- Viestit: 526
- Liittynyt: Maalis 15, 2003 18 : 54
- Paikkakunta: Lahti
Tämä oli ihan hyvä huomio ;D Jos käyttäjä estää selaimesta javascriptit, niin mitään salasanaa ei kysytä ja sivulle pääsee heittämällä...olli R kirjoitti:JavaScript ei ainakaan suojaa yhtään sen enempää kuin hakemiston piilossa pitäminen.
Valmiita PHP-kielisiä pätkiä pitäisi netistäkin löytyä, jos palvelin sitä vain tukee...jos ei tue, niin palvelin vaihtoon, koska nykyään asiakkaan pitää osata vaatia enemmän.
-
- Viestit: 4808
- Liittynyt: Tammi 10, 2003 9 : 21
- Viesti:
Olennaista Javascriptissä ei ole ajamisen ohittaminen, vaan se, että se ajetaan selaimessa. Javascript-ohjelma ladataan selaimeen, se on siis selaajan nähtävissä. Jotta Javascript voisi hakea kuvia, täytyy kuvien olla palvelimella jotenkin avoimina. Mitään suojaa ei ole.jmr kirjoitti:Tämä oli ihan hyvä huomio ;D Jos käyttäjä estää selaimesta javascriptit, niin mitään salasanaa ei kysytä ja sivulle pääsee heittämällä...
Valmiita PHP-kielisiä pätkiä pitäisi netistäkin löytyä, jos palvelin sitä vain tukee...jos ei tue, niin palvelin vaihtoon, koska nykyään asiakkaan pitää osata vaatia enemmän.
PHP:ssakin on hiukan ongelmia, koska jotta kuvat olisivat suojattu, ne eivät saa olla serverin avoimissa hakemistoissa, vaan jossakin maailmalta suojatussa hakemistossa. PHP-scripti sitten lukee nuo kuvat ja välittää ne selaimelle, jos session autentikointi on kunnossa.
Jokainen HTML:n kuvalinkki pitää koodata kutsumaan PHP-skriptiä tai koko galleria koodataan PHP:llä. Homma on hiukan tehotonta ja koodaamista paljon. Serverin omat modulit voinevat hoitaa homman paremmin ja gallerian voisi tehdä puhtaalla HTML:llä. Tai voisi käyttää jotain valmista galleria-softaa, jossa on salasanatunnistus mukana.
olli Rinne http://www.digifaq.info/
-
- Viestit: 905
- Liittynyt: Joulu 01, 2005 14 : 13
- Paikkakunta: Seinäjoki
- Viesti:
Linkki
Jos koodaaminen taittuu niin tuossa on melkein valmis pätkä. Teet formin mikä kysyy pelkän salasanan ja lähetät sen tuolle php-koodille. Koodiin voit laittaa sitten käyttäjätunnuksen valmiiksi.
Ehkä turhan paljon askartelua sen vuoksi ettei tarvitse kirjoittaa käyttäjätunnusta?
.make
Jos koodaaminen taittuu niin tuossa on melkein valmis pätkä. Teet formin mikä kysyy pelkän salasanan ja lähetät sen tuolle php-koodille. Koodiin voit laittaa sitten käyttäjätunnuksen valmiiksi.
Ehkä turhan paljon askartelua sen vuoksi ettei tarvitse kirjoittaa käyttäjätunnusta?
.make
-
- Viestit: 4808
- Liittynyt: Tammi 10, 2003 9 : 21
- Viesti:
Sitten varovasti siellä. Lukemalla koko jutun löytää tämän:oh6jih kirjoitti:Jos koodaaminen taittuu niin tuossa on melkein valmis pätkä. Teet formin mikä kysyy pelkän salasanan ja lähetät sen tuolle php-koodille. Koodiin voit laittaa sitten käyttäjätunnuksen valmiiksi.
Eli tämä koodi on vain salasanan kysyvä ja tarkastava. Se ei lisää mitään turvallisuutta muuhun kuin palasen sisältävään PHP-koodiin. Kuvatiedostohin ei voi lisätä PHP:tä, joten jos niihin viitataan PHP:ssä <IMG>-tagilla, ne ovat luettavissa ilman autentikointiakin. Edelleen suojaus on yhtä vahva kuin URL:n julkisesti kertomatta jättäminen.PHP-based authentication isn't like .htaccess or server-based authentication. A layer of security is not placed over all the contents of an entire directory. Instead, PHP-based authentication takes place on a page-by-page basis. If you redirect the user to a new page, you should still check for a value for $PHP_AUTH_USER and $PHP_AUTH_PW, to avoid direct-access by rogue visitors to the target redirection page.
Serverin .htaccess -metodin idea on, että kaikki tiedostot hakemistossa ovat suojattuja, riippumatta tiedoston tyypistä. Se on loppujen lopuksi varsin vahva, ja ongelmana on lähinnä tunnuksen ja salasanan kulkeminen verkossa avoimina. Paremmista servereistä kuten Apachesta löytyy tähänkin ongelmaan ratkaisuja.
olli Rinne http://www.digifaq.info/
-
- Viestit: 905
- Liittynyt: Joulu 01, 2005 14 : 13
- Paikkakunta: Seinäjoki
- Viesti:
Joo mun moka, en päivällä ehtinyt lukea tota scriptiä sen tarkemmin läpi. Tarkemmin ajateltuna htaccesin salasanaa ei ilmeisesti pysty syöttämään muuten kuin siihen 'aitoon' salasanakyselyyn... Yksi vaihtoehto tietenkin on jos on apache ja mod_rewrite käytössä:
suojattuun hakemistoon .htaccess -tiedosto:
Nyt haesivu.php voi tarkistaa onko käyttäjä tunnistettu. Mutta edelleen mielestäni turhaa kikkailua pelkästään käyttäjätunnuksesta luopumista varten...
suojattuun hakemistoon .htaccess -tiedosto:
Koodi: Valitse kaikki
Options +FollowSymlinks
RewriteEngine on
RewriteRule ^(.*) http://www.omasivu.com/haesivu.php?$1 [nc]
-
- Viestit: 3531
- Liittynyt: Huhti 24, 2003 15 : 41
- Paikkakunta: Tuusula
- Viesti:
Miten sen nyt ottaa, kysymyksessä on wap portaali jota tullaan käyttämään usein, joten tuon tunnuksen kirjoittaminen on sikäli hankalaa kun ei tarvitsisi kuin pelkän salasanan syöttää. Cookiet sun muut tavat varmentaa käyttäjä ja pitää kirjattuna ovat aika epävarmoja mobiilipäätteissä, paitsi htaccess toimii puhelimella kuin puhelimella. Sen takia kysyin alkuperäisen kysymykseni.oh6jih kirjoitti:Mutta edelleen mielestäni turhaa kikkailua pelkästään käyttäjätunnuksesta luopumista varten...
- Artur
Porfolio: http://www.arturgajewski.com
Facebook: https://www.facebook.com/artur.gajewski.photography
Porfolio: http://www.arturgajewski.com
Facebook: https://www.facebook.com/artur.gajewski.photography
-
- Viestit: 905
- Liittynyt: Joulu 01, 2005 14 : 13
- Paikkakunta: Seinäjoki
- Viesti:
Jos toteutus on tehty php:llä, session id:n voi viedä myös urlissa, jolloin päätteeltä ei juuri ominaisuuksia tarvitse. Voihan tuon toteuttaa muissakin kielissä mutta php:ssä tuon toiminta on suht automaattista. Onko käyttäjillä kuitenkin oma salasanansa kullakin? Luulen että htaccesista ei tuohon apuja löydy, vaan joudut koodaamaan sen itse.artur kirjoitti:Miten sen nyt ottaa, kysymyksessä on wap portaali jota tullaan käyttämään usein, joten tuon tunnuksen kirjoittaminen on sikäli hankalaa kun ei tarvitsisi kuin pelkän salasanan syöttää. Cookiet sun muut tavat varmentaa käyttäjä ja pitää kirjattuna ovat aika epävarmoja mobiilipäätteissä, paitsi htaccess toimii puhelimella kuin puhelimella. Sen takia kysyin alkuperäisen kysymykseni.
.marko
-
- Viestit: 3531
- Liittynyt: Huhti 24, 2003 15 : 41
- Paikkakunta: Tuusula
- Viesti:
Perlillä toteutus, mutta olet oikeassa, voin laittaa koodatun salasanan siihen urliin jossa sitten joka skriptissä tarkistus. Eipä tullut mieleen. Kaikilla käyttäjillä vain yksi ja sama salasana. Kiitokset vinkistä!oh6jih kirjoitti:Jos toteutus on tehty php:llä, session id:n voi viedä myös urlissa, jolloin päätteeltä ei juuri ominaisuuksia tarvitse. Voihan tuon toteuttaa muissakin kielissä mutta php:ssä tuon toiminta on suht automaattista. Onko käyttäjillä kuitenkin oma salasanansa kullakin? Luulen että htaccesista ei tuohon apuja löydy, vaan joudut koodaamaan sen itse.
.marko
- Artur
Porfolio: http://www.arturgajewski.com
Facebook: https://www.facebook.com/artur.gajewski.photography
Porfolio: http://www.arturgajewski.com
Facebook: https://www.facebook.com/artur.gajewski.photography
-
- Viestit: 305
- Liittynyt: Huhti 19, 2006 1 : 47
- Paikkakunta: Tku
- Viesti:
Jos sulla on siellä joku kanta, voit tietty laittaa vaan juoksevan numeron, niin sitä salasanaa ei voi selvittaa urlista.artur kirjoitti: Perlillä toteutus, mutta olet oikeassa, voin laittaa koodatun salasanan siihen urliin jossa sitten joka skriptissä tarkistus. Eipä tullut mieleen. Kaikilla käyttäjillä vain yksi ja sama salasana. Kiitokset vinkistä!
Modperl vai cgi?
-
- Viestit: 3531
- Liittynyt: Huhti 24, 2003 15 : 41
- Paikkakunta: Tuusula
- Viesti:
cgi ja flatfile tietokantaSeq kirjoitti:Jos sulla on siellä joku kanta, voit tietty laittaa vaan juoksevan numeron, niin sitä salasanaa ei voi selvittaa urlista.
Modperl vai cgi?
- Artur
Porfolio: http://www.arturgajewski.com
Facebook: https://www.facebook.com/artur.gajewski.photography
Porfolio: http://www.arturgajewski.com
Facebook: https://www.facebook.com/artur.gajewski.photography
-
- Viestit: 905
- Liittynyt: Joulu 01, 2005 14 : 13
- Paikkakunta: Seinäjoki
- Viesti:
Joo ei kannata sitä (edes kryptattua) salasanaa laittaa siihen urliin vaan onnistuneella sisäänkirjautumisella generoidaan joku satunnainen tekstinpätkä jota liikutellaan. En tiedä onko perliin toteutettu minkäänlaista sessionhallintaa, mutta voihan sen satunnaistekstin sitten tallentaa johonkin tilapäistiedostoon josta se sitten tarkistetaan...Seq kirjoitti: Jos sulla on siellä joku kanta, voit tietty laittaa vaan juoksevan numeron, niin sitä salasanaa ei voi selvittaa urlista.
Modperl vai cgi?
-
- Viestit: 305
- Liittynyt: Huhti 19, 2006 1 : 47
- Paikkakunta: Tku
- Viesti:
Ei ole sellaista, kuin php:ssä, mutta http-post:ssa ja get:ssä kulkee kyllä sessio-hashit ja käyttäjä-id:t.oh6jih kirjoitti:Joo ei kannata sitä (edes kryptattua) salasanaa laittaa siihen urliin vaan onnistuneella sisäänkirjautumisella generoidaan joku satunnainen tekstinpätkä jota liikutellaan. En tiedä onko perliin toteutettu minkäänlaista sessionhallintaa, mutta voihan sen satunnaistekstin sitten tallentaa johonkin tilapäistiedostoon josta se sitten tarkistetaan...
Ne määtätyt avaimet ja arvot vaan pitää muistaa kuljettaa mukana, joko post-formin hiddeneinä taikka linkissä yms.
Perlissä on ihan sama tilanne olioiden kanssa, kyllä ne on, jos implementoi.
-
- Viestit: 313
- Liittynyt: Marras 08, 2004 13 : 07
Taitaa olla valinnan varaa, CGI::Application, CGI::Session, Apache::Session ...oh6jih kirjoitti:En tiedä onko perliin toteutettu minkäänlaista sessionhallintaa, mutta voihan sen satunnaistekstin sitten tallentaa johonkin tilapäistiedostoon josta se sitten tarkistetaan...