Log in op je site

Wat heb je zelf al hierover uitgezocht op het web YoramScheer? Dat scheelt namelijk oplossingen/ideëen aandragen die je toch al hebt gehad Welkom op GoT overigens

Wat voor website heb je tot je beschikking? Kun PHP gebruiken? Of ASP? Of ASP.NET? Draait de website op Apache of IIS?

Wat ik meestal doe is een goed beveiligde (UNIX-rechten) dir aanmaken met allemaal .*.php files (zelfde grootte, 1 met een bepaalde inhoud), en dan check ik de inhoud van baename(directory/.$password.php) op een of andere random string. Dat werkt best goed

als het een php pagina is kun je het wachtwoord in md5 ofzo in de pagina zetten.. als vervolgens iemand inlogt maak je van het ingevoerde wachtwoord ook md5, en vergelijk je de 2 strings..
dit is zeer simpel te doen in php/asp (laatste denk ik ook wel, dunno), middagje prutsen en je bent er wel uit (from scratch, zonder kennis van php)

[ Voor 6% gewijzigd door Verwijderd op 17-10-2004 22:58 ]

@AapopfietS: jij bent er dus zeker van dat 't alleen op Unix-servers draait? Dat kan natuurlijk als het "privé" is, maar bij 'n groter project .....
@Kage: hij wilde het wachtwoord niet in het script hebben.

YoramScheer schreef op 17 oktober 2004 @ 23:01:
ja ik heb al op internet gezocht, maar ik kon daar alleen scripts vinden waar je je wacht woord in het script moet zetten

Het meest interessante in dit geval is of je serverside kan scripten. Dat zijn ook de vragen die hierboven aan je gesteld worden. Op welke server wil je deze pagina gaan draaien? Op een eigen server? Op een gratis dienst oid? Als je geen serverside scripting kan toepassen zul je het met clientside scripting op moeten lossen; en wordt het geheel meestal gecompliceerder.

Zou je de vragen van Philip (zie Verwijderd in "Log in op je site") willen beantwoorden?
Heb je misschien ook 'n database tot je beschikking?

Ik stop wachtwoorden meestal ge-hashed in een database. Bij het inloggen zet ik een cookie met de hash van het password, het userid (niet de username) en daarbij een hash van het ip of de hostname. Dit alles natuurlijk in 1 string aan elkaar. Op die manier denk ik er redelijk zeker van te zijn dat a) niemand iets met de informatie in het cookie kan en b) niets met een "gestolen" cookie zou kunnen...

Bij wanadoo kan je (voor zover ik weet) geen serversidescripting en/of databases gebruiken.
Je moet het dus clientside aanpakken. Dit is erg lastig om goed & veilig te doen en ik moet je hier dan ook in de steek laten....

Hij draait in elk geval Apache:



Dus je kunt altijd een .htaccess bestand proberen. Dat staat waarschijnlijk wel aan, maar zeker is het niet. Anders kunnen ze je op de Wanadoo helpdesk vast wel verder helpen.

Ok,

Persoonlijk denk ik niet veel dat TS geholpen is met termen als hashen en md5 op dit moment.

Wat je kan is heel simpel. En werkt effectief. En is in mijn opinie voldoende voor jouw type website.

Je startpagina: http://jeprovider.nl/homedir/index.html

Jou pagina die je wilt beveiligen met wachtwoord:

http://jeprovider.nl/homedir/kieshiereenwachtwoord.html

waar kieshiereenwachtwoord staat dus vervangen door een wachtwoord.

Op je index pagina zet je een form. Die submit zich naar ingevoerdwachtwoord.html. Waarbij ingevoerdwachtwoord dus het wachtwoord is dat in het form ingevoerd is.

Principe is dus dat mensen de naam van je pagina moeten weten. Nu weet geen kip dit, behalve aan wie jij dit vertelt. Met een form kun je netjes redirecten naar die pagina.

Nadeel is dat mensen de naam van je pagina kunnen raden, maar als je goede naam bedenkt is dat moeilijk te gokken.

Dit is denk ik voor jouw geval wel een goede en afdoende beveiliging.

Hoop dat je snapt wat ik bedoel, zo niet... laat even weten.

Hiermee heb je dus alleen een wachtwoord. En geen gebruikersaccounts. Maar als je begrijpt wat ik bedoel moet dat duidelijk zijn.

Voor alle mensen die gaan zeggen dat dit slechte beveiliging is: Ja, dat klopt. Maar we hebben hier niet met een bank te maken, en de kans dan mensen moeite gaan doen om het te raden is nihil, en als mensen het gaan raden dan zijn ze nog steeds lang bezig.

[ Voor 16% gewijzigd door Verwijderd op 18-10-2004 00:06 ]

Verwijderd schreef op 18 oktober 2004 @ 00:03:
[...]
Op je index pagina zet je een form. Die submit zich naar ingevoerdwachtwoord.html. Waarbij ingevoerdwachtwoord dus het wachtwoord is dat in het form ingevoerd is.

Ik denk niet dat wat jij bedoelt met alleen HTML te doen is. Je zult nog een javascriptje toe moeten voegen in de trant van:

Verwijderd schreef op 18 oktober 2004 @ 00:03:
....

Kun je dan niet beter je members gewoon het "geheime url" vertellen? Scheelt je een hoop gedoe met javascript enzo...

een tip:
Je legt een paar euri neer voor wat webspace mét serverside script ondersteuning. Dat lijkt mij de beste oplossing, bespaard een hoop getob en is veel veiliger. Bovendien nog leerzaam ook om een beetje te knutselen met scripts.

PHP

Programming & Webscripting gaat over serverside talen / programmeertalen. Hieronder vallen PHP, ASP, Java, etc. DHTML, zoals Javascript, en HTML horen thuis in Webdesign & Graphics.

Je hoster ondersteunt in ieder geval geen serverside talen. .htaccess oplossing betwijfel ik ook sterk, maar dat zal je bij je hoster moeten navragen in hoeverre dat ondersteund wordt. Blijft over een client-side oplossing dmv Javascript. De methodiek is beschreven in Verwijderd in "Log in op je site" .

Dat is in ieder geval een startpunt waar je kan zoeken. Mocht je vastlopen, dan kan je in Webdesign & Graphics een nieuw topic openen, maar let wel op de daar geldende policy. Ik verplaats deze niet, omdat er op dit moment allerlei suggesties door elkaar lopen en ze daar waarschijnlijk moeilijk de rode draad in het topic kunnen vinden.

Succes met je applicatie