Scoutnet vzw

Kben stillekesaan bezig om aan de ledenlijsten logins te koppelen om op onze site gebruiken.
Het inloggen is azo met session toestanden, simpel, werkt zonder problemen

Nu werken bij ons leidings deel met http authenticatie (met nen .htaccess file azo) het grote voordeel hiervan is dat héél de map safe zit, en dat ik mij van niks meer moet aantrekken. Zo zijn bv de foto's in deze map ook niet bereikbaar van buitenaf.
Nadeel is da stoem kot da komt opspringen

Als ik nu die http authenticatie vervang door die session login toestanden moet ik die controle op alle pagina's gaan doorvoeren...

Nu bestaat er in php zoiets als http-auth (http://be.php.net/features.http-auth) Maar hiermee kan je alleen de waardes checken, niet invoeren. (ben ik hier juist?)

Ik zoek dus achter een oplossing waarbij ik ofwel:
-die http authenticatie via php code kan doen inloggen
-met die session toestanden een hele map in 1 keer kan beveiligen.

Enfin ja, ik wil de voordelen van alle 2 de systemen gebruiken maar ik weet niet goed hoe...

Als je die login namen en zo allemaal in een mysql db gestopt hebt kan je met mod_auth_mysql http authentication laten doen op je database.

Bekijk eens dit topic voor wat meer uitleg over mijn gelijkaardig probleem en deze post in het bijzonder voor meer uitleg over het gebruik van mod_auth_mysql.

persoonlijk maak ik gebruik van een template die elke pagina gelijk opbouwd maar toch een verschillende inhoud kan hebben ...
als je een beveiligde pagina maakt kan je bvb



invoegen.... als de sessievariable(gebruiker) niet gezet is en niet de waarde 1 2 of 3 heeft vlieg je eruit ... anders laadt hij de rest van de pagina ..

beveiliging met sessies werkt goed, maar wat als je bijv een fotoalbum hebt waar enkel leiding toegang tot heeft:

geen probleem voor de pagina (deze is beveiligd), maar wat met de foto's (als men niet wil werken met mod_auth_mysql) , daar kan men rechtstreeks naar toe gaan (http://www.site.be/../../foto.jpg)

zet alle foto's in een dir die je met http beveiligt, waar dan ook niemand bij moet kunnen. De foto's roep je op met php buiten die dir. Ik dacht dat php de http beveiliging negeert...

kan iemand dit bevestigen ? (zou wel een mooie en eenvoudige oplossing zijn)

thx !

Zou idd wel een oplossing zijn voor de beveiliging, maar dan zal scoutnet der wel nie mee kunnen lachen denk ik. Dan moet de server weer elke foto gaan verwerken ipv gewoon aanroepen...

Denk dat ik de hopla toer zal opgaan, merci

laat dus maar
je kan enkel php scripts includen zonder http auth. afbeeldingen vragen login...


trouwens, scoutnet was vandaag extreem traag

de laatste tijd ook last van, vooral mijn ftp connectie valt vaak weg en kan moeilijk gemaakt worden ...


Even over het onderwerp terug, ivm met die fotos, ... bij onze site worden de fotos met een (pseudo)random string aangevuld, zodat de url gokken niet mogelijk is. Fotos waarvan de veiligheid aanstaat(in de foto tabel een extra kolom) worden niet in een pagina geladen, tenzij je inlogt.

sys werkt vrij goed ...

Het is off topic, maar het klopt dat de server het weer moeilijk krijgt. De oorzaak ligt (hopelijk) bij een RAID-controller die niet goed meekan. Scoutnet heeft een nieuwe controller besteld, maar die kan in het beste geval pas eind augustus geïnstalleerd worden. Als dat het probleem niet verhelpt, zal het hard zoeken zijn naar een andere oorzaak.

To

inderdaad, net ook getest..

hoe kan je dan je afbeeldingen of andere documenten beveiligen zodanig dat ze enkel maar gedownload kunnen worden als de persoon de juiste rechten heeft (bepaald met een sessie)

Bestaat er bijvoorbeeld niets in de zin van: een .htaccess leest een variabele in van een sessie en aan de hand daarvan bepaalt hij of het document gedownload mag worden of niet ?

Aanvulling: effe ge-googled en dit is waarschijnlijk de oplossing:
http://www.roj.com.np/programming_resource.php?id=4, nog niet getest, maar op het eerste zicht is het principe wel duidelijk en denk ik wel dat het werkt. Maakt geen gebruik van .htaccess

hallo,

ik heb de manier van hierboven eens uitgetest en die werkt goed, maar...

internet explorer doet (opnieuw) heel vervelend... hij zet de afbeeldingen niet op de juiste plaats in de pagina, maar over de tekst heen, allemaal een beetje verschoven in vergelijking met de originele afbeeldingen. En het rare is dat als je de pagina voor de eerste keer laadt er niets aan de hand is, wel als je de pagina refresht...

iemand een oplossing/idee ?

bedankt !

als ik de position:relative wegdoe in men stylesheet (bij img), lukt het opeens wel allemaal weer goed...

toch rare jongens die van microsoft

Jammer genoeg is het geen oplossing voor wie ook andere documenten dan afbeeldingen wil afschermen.

Wij gebruikten vroeger een .htaccess in de map met af te schermen documenten voor leiding. Daarin stond dan:

Die zou er voor moeten zorgen dat enkel voor wie komt van http://www.mijngroep.be/pad/naar/downloadpagina.php toegang heeft tot de bestanden in de map waar de .htaccess staat. Jammer genoeg werkt dit blijkbaar niet meer. Iemand een idee hoe dat komt? Is HTTP_REFERER niet betrouwbaar omdat dit niet altijd wordt doorgegeven? Of nog beter: iemand een oplossing?

To

Waarom is het geen oplossing voor andere documenten dan afbeeldingen? Je kan deze toch ook buiten je public_html zetten en dan de juiste header meegeven ? ( http://www.ltsw.se/knbase/internet/application.htp )