---

Hallo,

hoffe sehr, dass ich hier im richtigen Forum bin! Meine Frage:
Ich möchte auf unserer Homepage einen Kundenbereich einrichten. D.h. der Kunde soll z.B. 'Login' anklicken, eine Benutzerkennung und Passwort angeben und wird dann in 'seinen' Ordner geleitet, in dem er Up- und downloaden kann. Mein Problem ist jetzt, dass ich zwar in ein Verzeichnis 'Kundenbereich' wechseln kann (für das dann Benutzer und PW abgefragt werden), in diesem Bereich sind dann aber alle Unterverzeichnisse der einzelnen Kunden sichtbar. Ich möchte aber, dass der Kunde nur sein Verzeichnis sieht und nicht die der anderen (ich meine nicht den Zugriff auf die anderen Kundenverzeichnisse, sondern er soll die Ordner wirklich nicht SEHEN). Mittels der .htaccess-Datei habe ich den Zugriff ja auch schon geregelt bekommen - ich möchte aber eben auch erreichen, dass jeder Kunde wirklich NUR seinen Bereich sieht.

Danke für jede Antwort im voraus!!!

Ralf

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Tja, dann musst du den Kunden gleich ins entsprechende Unterverzeichnis bringen und auch dort die einzelnen .htaccess positionieren. Dann kannst du im Gesamt-Kundenverzeichnis ein HTML-Formular anbieten, in dem der Kunde sich selber auswählt. Am einfachsten wären da Links für alle Kunden, aber wenn der Kunde nicht mal sehen soll, wie die anderen heissen, musst du das über ein Webformular realisieren.

Ich gehe davon aus, dass es Apache ist - oder?

Gruss, Axel Strube-Zettler

------------------
Meine AutoLisp-Seiten Mein Angriff auf dein Zwerchfell Mein Lexikon der Fotografie Mein gereimtes Gesülze

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Tja, der Webauftritt läuft über Strato und den Hilfen dort nach zu urteilen ist es wohl Apache.

Statt einem Webformular ... könnte man das nicht mit einem PHP-Script realisieren?! (wobei ich natürlich nicht wüsste, wie!)

Vielleicht hast Du ja noch nen Tipp?!

Danke!

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Schau mal hier: http://www.bohnhardt.de und klick auf 'Kundenbereich'. Ist das eine Lösung? (Du kommst da natürlich nicht rein - aber ich kann dir versprechen, dass dahinter nur jeder Kunde seinen eigenen Kram sehen kann)

Gruß, Axel Strube-Zettler

------------------
Meine AutoLisp-Seiten Mein Angriff auf dein Zwerchfell Mein Lexikon der Fotografie Mein gereimtes Gesülze

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Nee, das ist es nicht. Ich will ja gerade verhindern, dass jeder Kunde alle Kundennamen sieht. Der Kunde soll sich einloggen ohne dass er von anderen Kunden etwas sieht.

Ralf

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

> will ja gerade verhindern, dass jeder Kunde alle Kundennamen sieht

Danach hatte ich dich ja gefragt, aber es kam keine Antwort. Na gut - nächste Frage: Wie kommt denn der Kunde überhaupt bis dahin? Ein Link, der auf 'Kundenbereich' verweist?

Im Moment fällt mir nix ein, wo der Kunde nicht seinen Namen zweimal eingeben müsste... Das Passwortfenster hat ja Apache in der Hand, nicht du - daher kannst du auch nicht dran biegen. Also muss noch eine Eingabe davor, über die man in Verzeichnisse wechselt. Ohne Formular geht's also nicht. Ich denke aber noch mal drüber nach.

Gruß, Axel

------------------
Meine AutoLisp-Seiten Mein Angriff auf dein Zwerchfell Mein Lexikon der Fotografie Mein gereimtes Gesülze

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Wie kommt denn der Kunde überhaupt bis dahin? Ein Link, der auf 'Kundenbereich' verweist?

---

Der Kunde klickt einen Link an, der ihn in das geschützte Verzeichnis "Kundenbereich" führt. Nach Eingabe der Anmeldedaten ist er in diesem Verzeichnis (in dem sich alle Unterverzeichnisse der einzelnen Kunden befinden). An dieser Stelle soll er aber nur seinen Ordner sehen können oder aber er soll über den oben genannten Link, der ihn eigentlich in den Kundenbereich führt direkt in seinen Ordner geführt werden.

Ralf

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Bei Strato hast Du (meine Tarif: PowerWeb A???) diese Verzeichnisverwaltung schon drin.

Für jeden Kunde kannst Du ein Nummernordner (-> anonym) auf dem Server anlegen. Den Zugriff (Einzelbenutzer oder Gruppen) kannst DU über ein Webinterface auf der Strato-HP bequem einrichten.

P.S.: Die neuen Icons zu auswählen beim Schreiben (in dieser Maske hier) sind cool!
                             

------------------
Gruß, der Teddibaer

Besucht mich doch mal ...
----------------
Es gibt nichts Gutes, ausser man tut es 

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von Teddibaer:
Bei Strato hast Du (meine Tarif: PowerWeb A???) diese Verzeichnisverwaltung schon drin.

Für jeden Kunde kannst Du ein Nummernordner (-> anonym) auf dem Server anlegen. Den Zugriff (Einzelbenutzer oder Gruppen) kannst DU über ein Webinterface auf der Strato-HP bequem einrichten.

---

Habe auch Tarif PowerWebA und, richtig, die von Dir beschriebene Zugriffsverwaltung ist da drin und funktioniert auch. Aaaaber: ich finde einfach, es sieht nicht so richtig professionell aus, wenn ich unseren Kunden sagen muss, klick mal Login an und dann klickst du auf den Ordner '12345' und dann kannst du dich anmelden... Ich denke einfach, es sieht besser aus (und müsste auch gehen) wenn der Kunde sich nur anmelden muss und danach direkt in seinem Ordner ist.

Gruß

Ralf

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Der Vorschlag von Teddibaer ist trivial. Das geht auf jedem Apache, sofern verstreute .htaccess überhaupt akzeptiert werden. Das, was Strato oder 1&1 da als Werkzeuge anbieten, reicht sowieso nur für die allerersten Grundschritte.

Wenn sich der User im Kundenverzeichnis eingeloggt hat, könnte ein Skript die erste Seite generieren und ihn in das entsprechende Unterverzeichnis umlenken. Aber wie soll dieses Skript rauskriegen, WER sich eingeloggt hat? Ich sehe keine Möglichkeit...

Alternativ dazu könnte das Skript die Autentifizierung selbst vornehmen. Dem stehen aber einige Bedenken gegenüber. Dazu ein Auszug aus der Apache-FAQ:

<i>
Can I use my /etc/passwd file for Web page authentication?

Yes, you can - but it's a very bad idea. Here are some of the reasons:

    * The Web technology provides no governors on how often or how rapidly password (authentication failure) retries can be made. That means that someone can hammer away at your system's root password using the Web, using a dictionary or similar mass attack, just as fast as the wire and your server can handle the requests. Most operating systems these days include attack detection (such as n failed passwords for the same account within m seconds) and evasion (breaking the connection, disabling the account under attack, disabling all logins from that source, et cetera), but the Web does not.
    * An account under attack isn't notified (unless the server is heavily modified); there's no "You have 19483 login failures" message when the legitimate owner logs in.
    * Without an exhaustive and error-prone examination of the server logs, you can't tell whether an account has been compromised. Detecting that an attack has occurred, or is in progress, is fairly obvious, though - if you look at the logs.
    * Web authentication passwords (at least for Basic authentication) generally fly across the wire, and through intermediate proxy systems, in what amounts to plain text. "O'er the net we go/Caching all the way;/O what fun it is to surf/Giving my password away!"
    * Since HTTP is stateless, information about the authentication is transmitted each and every time a request is made to the server. Essentially, the client caches it after the first successful access, and transmits it without asking for all subsequent requests to the same server.
    * It's relatively trivial for someone on your system to put up a page that will steal the cached password from a client's cache without them knowing. Can you say "password grabber"?

If you still want to do this in light of the above disadvantages, the method is left as an exercise for the reader. It'll void your Apache warranty, though, and you'll lose all accumulated UNIX guru points.
</i>

Ich würde das ernst nehmen und die Finger davon lassen.

Mein Fazit: Mir fällt nix besseres ein, als erst ein kleines Fenster, in dem Kunde seinen Namen eintippt, und das Skript, an das dieses Webformular gesendet wird, lenkt in das passende Subverzeichnis um. Dann wären zwei Möglichkeiten: Entweder der 'normale' Login-Prozess (dann muss der Kunde seinen Namen nochmal eintippen + das Passwort), oder ein direkter Eingriff ins HTTP-Protokoll, von dem ich aber nur sehr, sehr vage Vorstellungen habe.

Ich passe also... Stell die Frage noch mal im Selfhtml-Forum. Da gibt es diesbetreffend kompetentere Leute. 

Gruß, Axel Strube-Zettler

------------------
Meine AutoLisp-Seiten Mein Angriff auf dein Zwerchfell Mein Lexikon der Fotografie Mein gereimtes Gesülze

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von mapcar:
Stell die Frage noch mal im Selfhtml-Forum. Da gibt es diesbetreffend kompetentere Leute.

---

Danke Euch allen für Eure Bemühungen. Werde jetzt dem Rat von

mapcar folgen!

Gruß

Ralf

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Muss es denn HTML sein, oder reicht dem Kunden ein eigener FTP-Zugang?

Mit FTP wäre das nämlich kein Problem - wobei ich nicht weiß, wie Strato ihre FTP-Server eingerichtet haben....

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP