Login
POP Check
Aufgabe / Analyse:
Intranet Login ohne separate Passwort Datenbank
Zugriffe ab dem Intranet Proxy solle ohne Passwort Zugriff erhalten (bereits
authentifiziert)
Dokumentation anonymisiert erstellen.
Lösung / Management Sumary:
Passwort Schutz des Intranet Servers
Als Username e-Mail Adresse und als Passwort POP3 Passwort des Hauptservers
Da die meisten auch Web-Mail nutzen ist ihnen auch das POP3 Passwort geläufig
Rahmenbedingungen:
- Auf dem Server muss PHP laufen
- der Web-Server ist Appache oder IIS
- es besteht ein POP3 Server zur PW Verifizierung
Design:
Da Microsoft die Passwortübergabe für http bei einem Security UpDate des
Internet Explorer 6.0 entfernt hat, ist eine Umgehung des POP-UP’s für
Passwort geschützte Verzeichnisse nicht mehr möglich!
Geht nicht mehr!!: http://username:passwort@www.meineDomain.ch
Daher bleibt nur noch die Möglichkeit ungeschützte Verzeichnisse zu verwenden
und die jeweiligen html Pages mit einem PHP Script und Passwort Abfrage zu
schützen.
Nachteil: Jedem hfref muss eine ID übergeben werden!
Ausführungen mit Codebeispielen:
Die Startseite index.htm mit dem IP Check oder Login Form
<html> $ip = getenv("REMOTE_ADDR"); // IP-Adrasse erfragen |
Die Passwortprüfung login.htm (Daten gesendet von Login Form)
<html><head> $cfile
= "IntranetAccess.cou"; // Access-Count DataBase //
$POP_Password = current($HTTP_POST_VARS); // 2. Varibele abholen |
1. Anpassung an jeder HTML Seite zur Prüfung der ID (Include oben einfügen)
Bei jeder HTML Seite muss folgendes eingefügt werden:
<?php include "loginChkIncl.php"; ?>
Die Prüfdatei (include) loginChkIncl.php mit dem die ID geprüft wird
<?php |
2. Anpassung an jeder HTML Seite, jeder Link mit ID ergänzen
Bei jedem Link auf eine weitere Seiten muss folgendes eingefügt werden:
<A href="infos.htm<?php global $ID; echo "?ID=" . $ID;
?>"Infos</A>
Sicherheit, Abschlusstest, Qualität, Nachtrag:
Achtung das ist kein 100% iger Schutz! Bei bekannter Position einer Download Datei
nicht HTML Datei kann diese auch ohne Passwort herunter geladen werden!
Beispiel: http://www.meinePage.ch/downloads/WinZIP.exe
Folgerung & Erweiterungen:
Eine gute Umgehung für Download Links ist es, diese Dateien per FTP zugänglich
machen via separatem Verzeichnis. Dort funktioniert die Passwort Übergabe via
Browser immer noch hervorragend. Beispiel:
ftp://username:passwort@ftp.meineDomain.ch
Info und Anregungen an:
Manuel Magnin
Info (at) Clinch.ch