---

Min klubbestyrelse ønsker at begrænse adgangen til visse klubsider vha. en
form for 'login'.
Oplysningerne er ikke specielt 'følsomme', så der er ikke behov for noget
voldsomt sofistikeret!
Hvor finder jeg en vejledning ang. simpel adgangskontrol - jeg er absolut
novice på (også?) dette område! :)
--
med venlig hilsen
Hans

---

Hans Henrik Hansen skrev:
> Min klubbestyrelse ønsker at begrænse adgangen til visse klubsider vha. en
> form for 'login'.
> Oplysningerne er ikke specielt 'følsomme', så der er ikke behov for noget
> voldsomt sofistikeret!
> Hvor finder jeg en vejledning ang. simpel adgangskontrol - jeg er absolut
> novice på (også?) dette område! :)

Så vil jeg foreslå at du laver et bibliotek som du kun fortæller de
pågældende personer om. Hvis man lader være med at linke til det i andet
end ikke-offentlig mail, er et godt langt biblioteksnavn omtrent lige så
sikkert som en langt mere kompliceret javascript-løsning.
Som novice er det vist nærmest det du har at vælge imellem, jeg ved ikke
om du har adgang til serverside scripting som php, asp osv, men det er
ikke helt på noviceniveau .

Altså: biblioteksnavn som er langt, og med et par underscores eller
lignende i som ikke lige bliver gættet. Store og små bogstaver gør
sikkert en forskel på jeres server også... Forslags-eksempel:

www.minby-gif.dk/MinBy_bold+klub_bestyrelsessektion/

Det er dog vigtigt at forklare alle brugere hvad sikkerheden består i,
nemlig at der ikke findes _nogen_ offentlige links til siden! (og heller
ikke usynlige links på en anden offentlig side, google eller yahoo kunne
finde på at synes at linket var synligt... )

mvh

Jesper Brunholm

---

Jesper Brunholm wrote:
....
> Så vil jeg foreslå at du laver et bibliotek som du kun fortæller de
> pågældende personer om.
..........
Tak for forslaget - det er faktisk præcis sådan, siderne i adskillige år
*har* været 'sikret'! :)
Nå, jeg tror nu lige, jeg kigger en gang på gittes henvisninger - selvom jeg
til nu kun har befattet mig med (x)html og css, skal man jo ikke på forhånd
opgi' at lære noget nyt! (Går det helt galt, må jeg jo prøve at overbevise
min bestyrelse om, at den hidtidige fremgangsmåde er OK!)

--
med venlig hilsen
Hans

---

Hans Henrik Hansen wrote:
> Jesper Brunholm wrote:
> ...
>
>>Så vil jeg foreslå at du laver et bibliotek som du kun fortæller de
>>pågældende personer om.
>
> .........
> Tak for forslaget - det er faktisk præcis sådan, siderne i adskillige år
> *har* været 'sikret'! :)
> Nå, jeg tror nu lige, jeg kigger en gang på gittes henvisninger - selvom jeg
> til nu kun har befattet mig med (x)html og css, skal man jo ikke på forhånd
> opgi' at lære noget nyt! (Går det helt galt, må jeg jo prøve at overbevise
> min bestyrelse om, at den hidtidige fremgangsmåde er OK!)
>

Hvis dit webhotel kører på en Apache webserver, og du har adgang til at
bruge htaccess, så kan du måske bruge denne simple metode
<http://www.tools.dynamicdrive.com/password/>

---

Martin wrote:
....
> Hvis dit webhotel kører på en Apache webserver, og du har adgang til at
> bruge htaccess, så kan du måske bruge denne simple metode
> <http://www.tools.dynamicdrive.com/password/>

Det ville jeg mene må være muligt, eftersom der på serveren er 'overvintret'
nogle gamle mapper/filer, såsom: .htpasswds, .htacces og #htacces.ctl! :)

(Jeg 'overtog' administrationen for 4 - 5 år siden og lod disse ting ligge,
da jeg ikke vidste, hvilket formål de tjente!!)

--
med venlig hilsen
Hans

---

Hans Henrik Hansen wrote:
> Martin wrote:
> ...
>
>>Hvis dit webhotel kører på en Apache webserver, og du har adgang til at
>>bruge htaccess, så kan du måske bruge denne simple metode
>><http://www.tools.dynamicdrive.com/password/>
>
>
> Det ville jeg mene må være muligt, eftersom der på serveren er 'overvintret'
> nogle gamle mapper/filer, såsom: .htpasswds, .htacces og #htacces.ctl! :)
>
> (Jeg 'overtog' administrationen for 4 - 5 år siden og lod disse ting ligge,
> da jeg ikke vidste, hvilket formål de tjente!!)
>

Hvis du ved præcis hvad der køres på serveren, og du ikke ved hvad det
er - så kan du sagtens slette dem

Men jeg ville da nok anbefale den metode så - den er ganske simpel, og
kræver stortset intet andet end at udfylde de felter på det tidligere
link jeg gav dig.

Dog er det ikke så nemt at have flere bruger system, og brugerne kan
ikke ændre deres eget kodeord.

---

Martin wrote:

> Dog er det ikke så nemt at have flere bruger system,

Det er ikke korrekt. Med et .htaccess-login kan man have lige så mange
forskellige brugere med hver sit brugernavn/password, som man har lyst til.

Dermed er det også ret ligetil at eliminere en enkelt bruger, der ikke
længere skal have adgang - man sletter en enkelt kodelinje i htpasswd.

> og brugerne kan
> ikke ændre deres eget kodeord.

Det er rigtigt. Det er administrator, der skal kryptere pasword og indskrive
brugernavn og password i filen htpasswd:

http://hjemmesideskolen.net/htaxs.php

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk/ - http://ginnerskov.dk/
http://html-faq.dk

---

Erik Ginnerskov skrev:
> Martin wrote:
>
>> Dog er det ikke så nemt at have flere bruger system,
>
> Det er ikke korrekt. Med et .htaccess-login kan man have lige så mange
> forskellige brugere med hver sit brugernavn/password, som man har lyst til.

Jo, det er helt korrekt. Det ikke så nemt. Det er muligt, og håndterbart
osv, men i forhold til et databasestyret system med interface til
brugeradministration er det absolut ikke "nemt".

mvh

Jesper Brunholm

---

Jesper Brunholm wrote:
> Erik Ginnerskov skrev:

> Jo, det er helt korrekt. Det ikke så nemt. Det er muligt, og
> håndterbart osv, men i forhold til et databasestyret system med
> interface til brugeradministration er det absolut ikke "nemt".

Det har du ret i, det er lidt mere bøvlet end bare at lægge et ID ekstra ind
i en database - eller fjerne et ID fra basen.

Men har man lavet en side, der kan kode et password i det rigtige format,
tager den proces mindre end et blink med øjet. Med en god FTP-klient er det
heller ikke noget alvorligt problem at åbne .htaccess på serveren og skrive
en linje mere ind eller slette en.

Går jeg online med TotalCommander skal jeg blot markere filen og trykke
[F4], så kan jeg redigere helt som hvis det var på min egen harddisk.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk/ - http://ginnerskov.dk/
http://html-faq.dk

---

Erik Ginnerskov skrev:
> Går jeg online med TotalCommander skal jeg blot markere filen og trykke
> [F4], så kan jeg redigere helt som hvis det var på min egen harddisk.

Det bruger jeg også, problemet er bare stadig at få encodet passwords,
det kan godt være det er mig der har overset et fikst program til dette,
men jeg er nødt til at på nettet hver gang, og det synes jeg er bøvlet

Du har ikke et plugin, eller en måde at gøre det på i windows vel?

Ydermere er jeg nødt til (for sikkerhedens skyld) at køre et register
over bruger:password - kombinationerne, da mine brugere jævnligt glemmer
deres password (og det er trods alt lettere at køre et register end at
lave nyt password til den der har glemt)

Alt i alt er det altså lidt bøvlet. Den store sikkerhed, og relativt
enkle opsætning opvejer bøvlet hvis der ikke skal skiftes passwords ret
tit, men det er efter min mening også det gode der kan siges om sagen

mvh

Jesper Brunholm

---

Jesper Brunholm wrote:

> Det bruger jeg også, problemet er bare stadig at få encodet passwords,
> det kan godt være det er mig der har overset et fikst program til
> dette, men jeg er nødt til at på nettet hver gang, og det synes jeg
> er bøvlet

Til det formål har jeg en speciel side.

Gå ind på http://hjemmesideskolen.net/htaxs.php og log ind med oplyste
brugerdata.
Se så siden http://hjemmesideskolen.net/lukket/pass.php der krypterer
passwords.
Se også siden http://hjemmesideskolen.net/lukket/krypter.php der viser
php-koden.

> Du har ikke et plugin, eller en måde at gøre det på i windows vel?

Nej, jeg gør det online i en browser.

> Ydermere er jeg nødt til (for sikkerhedens skyld) at køre et register
> over bruger:password - kombinationerne, da mine brugere jævnligt
> glemmer deres password (og det er trods alt lettere at køre et
> register end at lave nyt password til den der har glemt)

Jo, den mulighed forefindes ikke umiddelbart ved .htacces-metoden. Det har
du ret i. Der må man så sideløbende køre et register, hvis man har brug for
det.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk/ - http://ginnerskov.dk/
http://html-faq.dk

---

Det vil jeg ikke give dig ret i. Det er forholdsvis enkelt at kode en
funktion der genererer et nyt tilfældigt password (både ASP(.NET) og
PHP) har indbyggede funktioner til dette) og sender det til den
registrerede email adresse.
Herefter kan brugeren ændre det til noget andet.

Regards Jens Peter Karlsen. Microsoft MVP - Frontpage.

On Sun, 24 Sep 2006 09:47:09 +0200, Jesper Brunholm
<nospam@brunholm-scharff.dk> wrote:

>Ydermere er jeg nødt til (for sikkerhedens skyld) at køre et register
>over bruger:password - kombinationerne, da mine brugere jævnligt glemmer
>deres password (og det er trods alt lettere at køre et register end at
>lave nyt password til den der har glemt)

---

Jens Peter Karlsen [FP-MVP] skrev:
> Det vil jeg ikke give dig ret i. Det er forholdsvis enkelt at kode en
> funktion der genererer et nyt tilfældigt password (både ASP(.NET) og
> PHP) har indbyggede funktioner til dette) og sender det til den
> registrerede email adresse.
> Herefter kan brugeren ændre det til noget andet.

Ja - det er det. Bortset fra at vi har konstateret ovenfor at brugeren
ikke selv kan ændre password, så han er nødt til at brug det tilsendte
(sandsynligvis kryptiske) kodeord, hvordan får du så det nye password
lagt i htpasswd-filen?

mvh

Jesper Brunholm

---

En sådan løsning vil man bruge med en database, ikke med htpasswd
filen. (som man jo ikke har alligevel hvis det er en IIS server).

Regards Jens Peter Karlsen. Microsoft MVP - Frontpage.

On Mon, 25 Sep 2006 14:03:06 +0200, Jesper Brunholm
<nospam@brunholm-scharff.dk> wrote:

>Ja - det er det. Bortset fra at vi har konstateret ovenfor at brugeren
>ikke selv kan ændre password, så han er nødt til at brug det tilsendte
>(sandsynligvis kryptiske) kodeord, hvordan får du så det nye password
>lagt i htpasswd-filen?

---

Jens Peter Karlsen [FP-MVP] skrev:
> En sådan løsning vil man bruge med en database, ikke med htpasswd
> filen. (som man jo ikke har alligevel hvis det er en IIS server).

OK, hvis du har overset at den her ende af tråden handler om håndtering
af .htaccess filer med deres tilhørende .htpasswd, så giver svaret en
form for mening, jeg kan bare ikke forstå at du svarer på hvordan man
kan lave passwords og inddatere dem, uden at undersøge hvilken form for
system de skal bruges i.

mvh

Jesper Brunholm

---

Erik Ginnerskov wrote:
....
> Det er rigtigt. Det er administrator, der skal kryptere pasword og
> indskrive brugernavn og password i filen htpasswd:
>
> http://hjemmesideskolen.net/htaxs.php

Tak for henvisningen, som jeg vil studere nærmere! :)

(Efter at jeg har 'kigget nærmere' på web serveren ser det iøvrigt ud til,
at den er 'forberedt til' netop 'htaccess')

--
med venlig hilsen
Hans

---

Martin wrote:
....
> Hvis dit webhotel kører på en Apache webserver, og du har adgang til at
> bruge htaccess, så kan du måske bruge denne simple metode
> <http://www.tools.dynamicdrive.com/password/>

Det ser ud til, at betingelserne er opfyldt for serverens vedkommende:
OS: FreeBSD
Apache ver.: 1.3.37 (Unix)

Men til nu har jeg ikke fået det til at virke - mit gæt er, at der er
problemer med 'Path to .htpasswd file'! :)

Jeg forstår (vist) ikke, om det skal være en 'absolut' eller 'relativ' sti?

Serverbeskrivelsen siger:

"Account web path: /usr/home/(min bruger-ID)/public-html"

, men er dét mon 'nok'??

--
med venlig hilsen
Hans

---

Hans Henrik Hansen skrev:
> Men til nu har jeg ikke fået det til at virke - mit gæt er, at der er
> problemer med 'Path to .htpasswd file'! :)

Det er et ofte set problem. Hvis du sætter:

<?php echo $_SERVER['DOCUMENT_ROOT'] ?>

ind i en fil med php afvikling (der er en god chance hvis filen bare
hedder .php til "efternavn"), så vil den skrive din webroot-path ud.

> Jeg forstår (vist) ikke, om det skal være en 'absolut' eller 'relativ' sti?

absolut, og mere absolut end vi er vant til, for det skal være absolut
for serveren, ikke bare for den offentlige del af den.

mvh

Jesper Brunholm

---

> Hvor finder jeg en vejledning ang. simpel adgangskontrol - jeg er absolut
> novice på (også?) dette område! :)

http://javascriptkit.com/script/cut76.shtml

http://www.hjemmesideskolen.dk/scripts/pass.asp


gitte

---

gitte wrote:
> http://javascriptkit.com/script/cut76.shtml

Denne er simpelthen også alt for nem at "hacke" sig ind på.
Den ville jeg absolut aldrig vælge, kun hvis det oplysninger som ligeså
godt kunne ligge på et åbent site.

---

Martin skrev:
> gitte wrote:
>> http://javascriptkit.com/script/cut76.shtml
>
> Denne er simpelthen også alt for nem at "hacke" sig ind på.
> Den ville jeg absolut aldrig vælge, kun hvis det oplysninger som ligeså
> godt kunne ligge på et åbent site.

Tjah, sammen med konceptet "i princippet ukendt mappe" kunne den være
udmærket, den ville lige sikre det en halv dag længere imod juniorholdet
som tilfældigvis var faldet over mappens eksistens.

Jeg vil dog holde helt med i, at når htaccess er tilgændeligt, så er det
ret suverænt til formålet (ikke mindst fordi den metode kan beskytte en
mappe med alle filer, incl. fx. pdf'er, som ville være umådeligt
besværlige at beskytte med javascript - i hvert fald ifølge det jeg
kender til det ).

mvh

Jesper Brunholm