21.10.2020, 20:54 UTC+2

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

lino

Fortgeschrittener

1

16.05.2020, 16:19

passworgtgeschützte Webseite: möglichst sollte die Sitzung dann 2 bis 3 std. offen sein

hallo und guten Tag Ubuntuli
hallo Pit234a
hallo community - guten Tag,



ich will eine Webseite durch ein passwort im Zugang sichern - m.a.W. man soll nur zugang bekommen - wenn man durch die PAsswortkontrolle geht:

es soll lediglich ein einziger Benutzer angelegt werden:

Als erstes denke ich, ist die Anlage einer .htpasswd Datei in einem Verzeichnis notwendig:
dabei glaube ich ist es wichtig dass diese Datei im Grunde auch abseits der darauf verweisenden .htaccess Datei liegt
Also es ist im Grunde so gedacht dass die .htpasswd nicht das Verzeichnis und deren Unterverzeichnisse in der die Datei liegt absichert,


Nein - es ist vielmehr so dass die Datei eine Liste bzw. ein 'Inhatsverzeichnis darstellt - aller möglichen Zugangsdaten.

Absichern tut die .htaccess Datei : Sie - also die .htacess-Datei übernimmt die eigentliche Sicherungsaufgabe das Verzeichnis und aller darunter liegenden Unterverzeichnisse mit einem Passwortschutz versehen. Aus diesem Grunde ist es glaube ich auch wichtig - wo die .htacces datei abgelegt wird.

Also - bei meiner Aufgabe handeld es sich um eine Wordpress-Seite- Da gbibt es schon ein HTACCESS.
Deshalb denke ich dass ich die .htaccess Datei anpassen muss.


So oder so muss folgender Code in die Datei rein:

Quellcode

1
AuthType BasicAuthName "Passwortgeschützter Bereich"AuthUserFile /pfad/zur/datei/.htpasswdRequire valid-user



Man muss darauf achten, dass der Pfad zu der Datei auch richtig gesetzt wird m.a.W. dass der richtige Pfad zur .htpasswd Datei angegeben ist.
Aus Sicherheitsgründen sollte die .htpasswd Datei in einem anderen Verzeichnis gespeichert sein als die jeweilige .htaccess Datei, die auf die .htpasswd verweist.


Was ist - wenn ich die Passwortsicherung etwas aufwändiger haben will -also etwa so dass immer wenn ich die Seite betrete nach dem Passwort-Eingeben.

- ich dann die Seite offenstehen hab auf meinem Rechner?!
- also dass die Seite für 2 oder drei Stunden offen steht - auf meinem aufrufnenden Rechner
- ist dies moeglich !?

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »lino« (16.05.2020, 16:26)


Beiträge: 842

Geschlecht: Männlich

2

19.05.2020, 08:04

Hallo lino.
Ich hatte die letzten Wochen wenig Zeit.
Mein Hauptrechner Pfeift La Paloma weil sein BIOS defekt ist, er erkennt den Linux-Grub für Ubuntu nicht, Knoppix läuft noch aber da gibts Probleme mit ä,ö,ü DVD Starten geht gerade noch, 1.8 TB Daten (26 Jahre) sichern. Knoppix 8.6.1 Flash USB auf dem neuen HP Windows 10 Laptop war noch Kinderspiel jetzt kann ich auch die neue Ubuntu 20.04 240GB USB booten.
Welchen HTML-Editor benutzt Du? Ich schreibe auch HTML Webseiten. Ich habe gerade Bluefish Installiert. Kompozer würde das auch bringen was ich dir raten kann. Bei der Suche nach HTML-Kursen hatte ich irgend wo gelesen das HTML-Seiten verschlüsselt werden können. Ob der Router das zeitlich begrenzen kann ist bestimmt möglich. Nur der Router und Benutzer der das Passwort kennt kann auf diese Seite zugreifen. Bestimmt ist das eine Idee für dich Webseiten Verschlüsseln.
von Pentium II bis HP Laptop gibt es keinen Rechner der mir sagt was ich machen soll :thumbsup:
ich bin Ubuntu im Sinne von Desmond Tutu
Linux Knoppix Flash auf USB Stick

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »ubuntuli« (19.05.2020, 08:13)


lino

Fortgeschrittener

3

19.05.2020, 11:16

Hallo und guten Morgen Ubuntuli,

vielen dank für deine schnelle Rückmeldung. Freue mich von dir zu hoeren.
Hallo lino.
Ich hatte die letzten Wochen wenig Zeit.
Mein Hauptrechner Pfeift La Paloma weil sein BIOS defekt ist, er erkennt den Linux-Grub für Ubuntu nicht, Knoppix läuft noch aber da gibts Probleme mit ä,ö,ü DVD Starten geht gerade noch, 1.8 TB Daten (26 Jahre) sichern. Knoppix 8.6.1 Flash USB auf dem neuen HP Windows 10 Laptop war noch Kinderspiel jetzt kann ich auch die neue Ubuntu 20.04 240GB USB booten.
Welchen HTML-Editor benutzt Du? Ich schreibe auch HTML Webseiten. Ich habe gerade Bluefish Installiert. Kompozer würde das auch bringen was ich dir raten kann. Bei der Suche nach HTML-Kursen hatte ich irgend wo gelesen das HTML-Seiten verschlüsselt werden können. Ob der Router das zeitlich begrenzen kann ist bestimmt möglich. Nur der Router und Benutzer der das Passwort kennt kann auf diese Seite zugreifen. Bestimmt ist das eine Idee für dich Webseiten Verschlüsseln.
Das mit deinem Rechner hoert sich ja ernst an. Dass Knoppix noch läuft ist gut - und zum Glück gibt es Knoppix - das hilft ja in den allermeisten Fällen, Ich hab ja auch schon mehrfach Rechner (Plattenarchitekturen ) regelrecht zerschosssen (hab hier auch schon darüber berichtet). Da war nur noch mit Knoppix etwas moeglich. Hoffe dass du deinen Rechner wieder hinbekommst.



Zu deiner Frage nach dem Editor: Ich nehm als Editor abwechselnd ATOM, NOTEPAD ++ oder auch VSCode. Da es sich um eine Wordpress-Seite handelt denke ich dass ich ggf. auch einen entsprechenden Plugin nehmen kann. Hab auch schon einen gefunden:


es geht um eine passworgtgeschützte Webseite: WP-Plugin: restricted-site-access vs .htaccess/.htpasswd-Lösungen im Vergleich: die Besonderheit: möglichst sollte die Sitzung dann 2 bis 3 std. offen sein

Hintergrund: ich will eine (Wordpress-) Webseite durch ein passwort im Zugang sichern - m.a.W. man soll nur zugang bekommen - wenn man durch die Passwortkontrolle geht: es soll lediglich ein einziger Benutzer angelegt werden: Die Seite ist noch neu - und in Entwicklung. Ich will sie auf dem Server hosten u. nicht (nur) auf einem XAMPP-System.

es gibt hier mehrere Optionen - auf die ich unten eingehe:

a. die .htacces/htpasswd-Kombination oder
b. ein Wordpress-Plugin: How to Restrict WordPress Site Access by IP or Logged In https://de.wordpress.org/plugins/restricted-site-access/

Metadaten: Version:7.2.0
Aktive Installationen:20.000+
WordPress-Version:4.6 oder höher
Getestet bis:5.3.3
Schlagwörter:privacy restrict

mehr dazu unten...

daneben gibt es dann immer noch die Lösung mit .htaccess und .htpasswd:

Als erstes denke ich, ist die Anlage einer .htpasswd Datei in einem Verzeichnis notwendig: dabei glaube ich ist es wichtig dass diese Datei im Grunde auch abseits der darauf verweisenden .htaccess Datei liegt Also es ist im Grunde so gedacht dass die .htpasswd nicht das Verzeichnis und deren Unterverzeichnisse in der die Datei liegt absichert, Nein - es ist vielmehr so, dass die Datei eine Liste bzw. ein 'Inhatsverzeichnis darstellt - aller möglichen Zugangsdaten. Absichern tut die .htaccess Datei. Sie - also die .htacess-Datei übernimmt die eigentliche Sicherungsaufgabe das Verzeichnis und aller darunter liegenden Unterverzeichnisse mit einem Passwortschutz versehen. Aus diesem Grunde ist es glaube ich auch wichtig - wo die .htacces datei abgelegt wird.

.....generell ist es so, dass das mit htpasswd generell geht: um das Verzeichnis, das man schützen will, muss man eine .htaccess-Datei. einrichten:
Um einen solchen Passwortschutz einzurichten, braucht man generell folgende Anweisungen wie z.B. AuthType, AuthName, AuthUserFile, und wenn auch mit einem Benutzergruppen arbeiten will dann noch mit AuthGroupFile. Ferner benötigt man wenn der Zugriff auf bestimmte Benutzer oder Gruppen aus diesen Dateien festlegt (also einschränken) sein soll, eine oder mehrere Angaben der Anweisung Require.
AuthType bezeichnet die Art der Authentifizierung. Webserver/htaccess/Passwortschutz –
Also - bei meiner Aufgabe handelt es sich um eine Wordpress-Seite- Da gbibt es schon ein HTACCESS. Deshalb denke ich dass ich die .htaccess Datei anpassen muss. So oder so muss folgender Code in die Datei rein:

.htaccess-Datei für Passwortschutz

Quellcode

1
# .htaccess-Datei für PasswortschutzAuthType BasicAuthName "Geschützter Bereich - jetzt ein Passwort eingeben!"AuthUserFile /Individueller/Pfad/.htpasswdRequire valid-user0


Erläuterungen: vgl. auch



vgl hier. https://wiki.selfhtml.org/wiki/Webserver…/Passwortschutz

Aber nun die Sonderlösung und die Spezialaufgabe bzw. Frage: Was ist - wenn ich diese Passwortsicherung etwas aufwändiger haben will -also etwa so dass immer wenn ich die Seite betrete nach dem Passwort-Eingeben.

- ich dann die Seite offenstehen hab auf meinem Rechner?!
- also dass die Seite für 2 oder drei Stunden offen steht
- auf meinem aufrufenden Rechner


Zwischenbemerkung zum .htacces angesichts dieser Sonderaufgabe - dass hier eine Sitzung mehrere h offen sein soll, denke ich nicht das hierfür eine schlichte und konventionelle basic HTTP-Authentication dafür ausreicht; Das wird wohl nicht gehen. Denke das man hier irgendwie anders ansetzen muss und ggf. irgendeine Form eines Tokens mit begrenzter Lebensdauer (z.B. ein JWT oder ein Sitztungs-Cookie, das für Requests mitgesendet wird mit einer im Backend registrierten Session korrespondiert) einsetzen sollte. Das macht das also schon etwas aufwändiger.
Man könnte ggf. mittels JS dafür sorgen, dass der Client auf einen bestimmten Timeout reagiert (und dann z.B. auf eine Login-Seite geht), aber wenn nun hier etwa ein dritter Zugriff auf das System hat, kann er grundsätzlich die vom Browser zwischengespeicherten Variablen und den DOM manipulieren oder die Ausführung von JS unterbrechen…Das wäre doof.
Mit einer schlichten Basic-Authentifizierung: Im Falle der HTTP (Basic) Authentifizierung sendet der Browser die Logindaten immer mit, also ist dessen Verhalten fuer die gestellten Fragen relevant. In der Regel merkt sich der Browser die Logindaten einige Zeit (zB fuer die aktuelle Session), bevor er wieder danach fragt. Das müsste man dann halt ausprobieren, ob ich hier an meine Sonderlösung komme u. sie so umsetzen kann.


und weiters: htpasswd Datei erstellen:
Damit der Verzeichnisschutz mit Passwort funktioniert, genügt die .htaccess-Datei alleine allerdings nicht. Man braucht hier immer zusätzlich auch noch eine Text-Datei, in der (der Benutzername und) das zugehörige Passwort drinne steht.

Quellcode

1
.htpasswd-Datei# die Passwort-Dateimyname:$2y$0d4433545$MQ7RdCCRrKmBEDD/usaks.9qAeCKy4YCP2pzgmc4lppfli41zCAchtung!


Theoretisch könnte man die ganzen Passwörter auch im Klartext ablegen. Da sie so aber auch von Fremden ausgelesen werden können, ist es besser man verschlüsselt sie immer. Dabei ist folgendes wichtig:

- auf die veraltete MD5-Verschlüsselung sollte man hier nicht unbed. zurückgreifen.
- Benutzernamen sollten nicht länger als 255 Bytes sein.

Zusammengefasst sind die wichtigsten Regeln für .htpasswd:

- die Datei muss auf dem Web-Server, jedoch außerhalb des Web-Space liegen. Sie darf per HTTP weder gelesen und schon gar nicht geschrieben werden.
- die .httpwasswd-Datei muss root gehören.
- Sie - die .httpwasswd - darf nur durch root geschrieben werden.
- der Benutzer, unter dem das Web-Server-Programm lauft, darf in dem Verzeichnis, in dem die Datei .htaccess liegt, keine Dateien anlegen und keine Datei löschen können.
- man sollte darauf achten, dass der Pfad zu der Datei auch richtig gesetzt wird m.a.W. dass der richtige Pfad zur .htpasswd Datei angegeben ist. Aus Sicherheitsgründen sollte die .htpasswd Datei immer (!!) in einem anderen Verzeichnis gespeichert sein als die jeweilige .htaccess Datei, die auf die .htpasswd verweist. Das ist ziemlich wichtig.

Alternativ kann man auch einen WP-Plugin zu verwenden - How to Restrict WordPress Site Access by IP or Logged In ...https://de.wordpress.org/plugins/restricted-site-access/

vgl. Restricted Site Access bzw: Restricted Site Access

Zitat


Beschränke den Zugriff auf deine Website auf angemeldete Besucher oder auf einen spezifischen IP-Bereich. Sende Besucher ohne Zugriff zur Anmeldeseite, leite sie weiter oder zeige eine Nachricht oder Seite an. Eine optimale Lösung für Extranets, öffentliche Intranets oder parallele Entwicklungsumgebungen.

- Adds a number of new configuration options to the Reading settings panel as well as the Network Settings panel in multisite. From these panels you can:
- Enable or disable site restriction
- Change the restriction behavior: send to login, redirect, display a message, display a page
- Add IP addresses to an unrestricted list, including ranges
- Quickly add your current IP to the unrestricted list
- Customize the redirect location, including an option to send them to the same requested path and set the HTTP status code for SEO friendliness
- Define a simple message to show restricted visitors, or select a page to show them – great for „coming soon“ teasers!


Bewertungen:
"
a. Protecting my development and test sites with this Plugin has been part of my workflow for a long time. It’s simple, effective and elegant–works so seamlessly that I forget it’s not just part of core WordPress."


ich werde dieses Plugin näher ansehen und testen.

Was meinst Du denn - was meinst Du, Ubuntuli zu diesem Zusatz!? Ich habe den vor ein paar Stunden mal installiert und probiere das Ganze aus.

Ich melde mich wieder und berichte.

Viele Grüße und einen schoenen Tag.
lino :)

Beiträge: 842

Geschlecht: Männlich

4

19.05.2020, 18:25

Zeit/Nutzen

Hast Du einmal über Zeit/Nutzen nachgedacht?
Lohnt sich die Zeit die Du jetzt investierst um einen Passwortschutz auf einer Webseite einzurichten für nur eine Person möglicherweise 3 oder 4 mal im Monat für 2-3 Stunden?
Hier hatte ich mal Hilfe gesucht und bekommen.
https://xhtmlforum.de/
von Pentium II bis HP Laptop gibt es keinen Rechner der mir sagt was ich machen soll :thumbsup:
ich bin Ubuntu im Sinne von Desmond Tutu
Linux Knoppix Flash auf USB Stick

lino

Fortgeschrittener

5

19.05.2020, 21:10

RE: Zeit/Nutzen

Guten Abend Ubuntuli

du hast natürlich vollkommen Recht mit dem was du schreibst. Ich denke dass ich das nun ausgiebig mit dem WP-Plugin mal teste.
Hast Du einmal über Zeit/Nutzen nachgedacht?
Lohnt sich die Zeit die Du jetzt investierst um einen Passwortschutz auf einer Webseite einzurichten für nur eine Person möglicherweise 3 oder 4 mal im Monat für 2-3 Stunden?
Hier hatte ich mal Hilfe gesucht und bekommen.
https://xhtmlforum.de/
ich werde alles ausprobieren - und meld mich wieder.

Dir nochmals vielen Dank - für deinen Beitrag in diesem Thread und deine immer wieder große Bereitschaft zu helfen mit guten Ideen, Ansätzen und Tipps.
vielen vielen Dank dafür!!! :)

VG Lino :)

Beiträge: 842

Geschlecht: Männlich

6

19.05.2020, 23:00

Eine geheime Seite dauerhaft verschlüsselt auf die nur zuverlässige Nutzer mit Passwort kommen die regelmäßig je nach Bedarf aktualisiert wird macht für mich mehr Sinn.
von Pentium II bis HP Laptop gibt es keinen Rechner der mir sagt was ich machen soll :thumbsup:
ich bin Ubuntu im Sinne von Desmond Tutu
Linux Knoppix Flash auf USB Stick

lino

Fortgeschrittener

7

28.07.2020, 13:34

hallo Ubuntuli

danke für deine Antwort. Das stimmt - da hast du Recht.
Eine geheime Seite dauerhaft verschlüsselt auf die nur zuverlässige Nutzer mit Passwort kommen die regelmäßig je nach Bedarf aktualisiert wird macht für mich mehr Sinn.

ich brauchte halt eine ad-hoc Lösung. Für den Zweck geht das ganz gut..


Viele Grüße
Lino

Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop