@andreas

Normalerweise ist die Endung egal *.pl oder *.cgi
Das hängt von den Einstellungen in der httpd.conf des Apache ab.
Probiers einfach aus.

@Ollli

Username und Passwort werden mit "Post" gesendet, deshalb sieht man nichts davon in der Adresszeile.
Das Passwort wird unverschlüsselt gesendet. Wenn jemand den Netzwerkverkehr lesen kann (Sniffer), dann kann er das Passwort im Klartext sehen.
Normalerweise ist das Passwort mit Base64 verschlüsselt, wenn man das normale Browser-Pop-Up-Fenster für den Login verwendet.

Diese HTML-Datei wird tatsächlich im Browser-Cache gespeichert:
<HTML><META HTTP-EQUIV=Refresh CONTENT='0;URL=http://$username:$password\@$schutzurl'></HTML>

Also wäre es besser noch zwei Meta-Tags einzufügen, damit die Seite weder im Browser-Cache noch in Proxys gespeichert wird:

#!/usr/bin/perl
use CGI qw(:standard);
$schutzurl = "sub.domain.de/members"; # URL des passwortgeschützten Verzeichnis
$query = new CGI;
$username = $query->param('username');
$password = $query->param('password');
&login if ($username && $password && $ENV{'REQUEST_METHOD'} eq "POST");
sub login{
print "Content-type: text/html\n\n";
print "<HTML><META HTTP-EQUIV=Refresh CONTENT='0;URL=http://$username:$password\@$schutzurl'>\n";
print "<meta http-equiv='cache-control' content='no-cache'>\n";
print "<meta http-equiv='pragma' content='no-cache'></HTML>\n";
exit;
}

Ich weiß, das ist alles nicht 100% sicher, aber ich denke halt, daß die Sicherheit für die Abi-Seite von Andreas ausreichend ist.

Den Cache hatte ich ganz vergessen, Ollli danke für den Tip.

Grüße von Sabine

Muss Ollli Recht geben, das mit dem Cache hab ich mir auch kurz überlegt, bin dem aber nicht weiter nachgegangen.

Aber ich stimme dir auch zu, Sabine, für meine Zwecke ist das so ausreichen, mit den 2 zusätzlichen Metatags...

GrEeZ Hanü

> <META HTTP-EQUIV=Refresh CONTENT='0;URL=http://$username:$password\@$schutzurl'>

ich meinte eher diese Zeile mit dem Passwort in der Adresszeile, die wird doch automatisch in die Adresszeile des Browsers geschrieben, oder?
Also jedenfalls habe ich das refresh-tag so in erinnerung ;-)

Und wenn das nicht der Fall ist, dann wäre eine Erklärung für mich sehr nett, damit ich das auch richtig verstehe ;-)

Ollli

Achso, da habe ich doch noch ein Script in Erinnerung, was ich mal geschrieben habe, womit die User sich ihr Passwort selber ändern können.
Aber achtet lieber nicht so auf den Code, der stammt noch aus meinen Anfängerjahren ;-)

----------------
#!/usr/local/bin/perl

$passwd_pfad = "/....../ollli/.htpasswd";
$passwdbackup = "/......./ollli/.htpass2";

read(STDIN, $buffer, $ENV{'CONTENT_LENGTH'});

@pairs = split(/&/, $buffer);

foreach $pair (@pairs)
{
($name, $value) = split(/=/, $pair);
$value =~ tr/+/ /;
$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
$value =~ s/<!--(.|\n)*-->//g;
$value =~ s/<([^>]|\n)*>//g;
$FORM{$name} = $value;
}

$passold = $FORM{'passold'};
$pass1 = $FORM{'pass1'};
$pass2 = $FORM{'pass2'};
$name = $FORM{'name'};
$i = 0;


&candc;

sub austausch()
{
open(PWL, "$passwd_pfad") || &error("Kann Passwort-Datei nicht öffnen: $!");
@pwl = <PWL>;
close(PWL) || &error("Kann Passwort-Datei nicht schließen: $!");
open(BKP,">$passwdbackup") || &error("Kann Sicherungsdatei nicht öffnen: $!");
open(PWL,">$passwd_pfad") || &error("Kann PWL-DAT nicht öffnen: $!");
foreach $line (@pwl)
{
print BKP $line;
($user, $pw) = split(/:/,$line);
chomp($pw);
if($user eq $name && $pw eq $cpassold)
{
print PWL "$name:$cpassnew\n";
}
else
{
print PWL $line;
}
}
print "Content-type: text/html\n\n";
print "<html><head><title>Alles glatt verlaufen</title></head>\n";
print "<body>Das Passwort wurde geändert!</body>";
print "\n</html>";
}

sub candc()
{
$vorhanden = "nein";
$cpassold = crypt($passold, "YL");
if($pass1 ne $pass2)
{
&error("Die beiden neuen Passw&ouml;rter stimmen nicht &uuml;berein, bitte korrigieren Sie");
}
else
{
open(PWL,"$passwd_pfad") || &error("Kann PWL-DAT nicht öffnen: $!");
@pwlist = <PWL>;
close(PWL);
foreach $pl (@pwlist)
{
($user, $pw) = split(/:/, $pl);
chomp($pw);
if(($user eq $name) && ($pw eq $cpassold))
{
$cpassnew = crypt($pass1, "YL");
$vorhanden = "ja";
}
}
if($vorhanden eq "ja")
{
&austausch;
}
else
{
&error("Benutzername und Kennwort passen nicht zueinander, bitte beide Eingaben &uuml;berpr&uuml;fen!");
}
}
}

sub error()
{
print "Content-type: text/html\n\n";
$message = $_[0];
if($message =~ /Kann/)
{
print $message;
}
else
{
print ("
<html>
<head>
<meta http-equiv=\"content-type\" content=\"text/html;charset=iso-8859-1\">
<title>Passwort&auml;nderung</title>
</head>
<body bgcolor=\"#ffffff\">
<form name=\"formular\" action=\"/cgi-bin/htpwch.pl\" method=\"post\">
<p>$message<br>
<br>
Benutzername: <input type=\"text\" name=\"name\" size=\"24\" value=\"$name\"><br>Altes Passwort: <input type=\"password\" name=\"passold\" size=\"24\" value=\"\"><br>
Neues Passwort: <input type=\"password\" name=\"pass1\" size=\"24\" value=\"\"><br>
Neues Passwort wiederholen: <input type=\"password\" name=\"pass2\" size=\"24\" value=\"\"><br>
<br>
<input type=\"submit\"> <input type=\"reset\"></p>
</form>
<p></p>
</body>
</html>

")

}
}

-------------------

Ich hoffe, es hilft wenigstens etwas.

Ollli

Hallo Ollli, Username und Passwort erscheinen nicht in der Adresszeile, getestet mit Netscape 4, IE 4 und Phoenix.
Frag mich nicht warum, ich wundere mich ja selbst, daß es so geht.

Hier ein Link zum Testen:

http://cgi.gmxhome.de/test/loginseite.html

Username/Passwort: tester

Die "Schutzurl" steht ohne Slash am Ende in der login.cgi
$schutzurl = "cgi.gmxhome.de/members";

Mit Slash am Ende klappts nicht. Dann stehen Username und Passwort in der Adresszeile.

Grüße von Sabine

Das sind also die Wunder der Technik, wo wieder kein weiß warum sie existieren ;-)

ich habe dann mal noch eine Frage:
hast du einen account bei gmx oder wieso nimmst cgi.gmxhome.de???
gmxhome.de ist auf GMX geschrieben, doch so wie du das verwendest sieht das nicht nach einem account aus, oder heißt dein account "test"???

Ollli

Hallo Ollli,

bei gmx gibts jetzt kostenlose Subdomains mit 10 MB Speicherplatz.
Ich hab mir cgi.gmxhome.de angemeldet.
Der Name "cgi" war noch frei :-)

test ist nur ein Unterverzeichnis.

Grüße von Sabine

@Sabine
Also im NN7 und IE6 steht die URL auch ohne die Zugangsdaten. Vielleicht hat es was damit zu tun, dass es sich um einen Ordner und keine bestimmte Datei handelt. Müsste man mal mit einer Datei als Ziel ausprobieren...

@Ollli
Aus den Anfangsjahren *g* - da warst du aber schon fortgeschrittener Anfänger... naja, immerhin versteh ich das Prinzip deines "Passwort ändern" Scriptes, des is schon mal was... Danke trotzdem, ich befass mich mal näher damit und versuch es für meine Zwecke anzupassen...

Andreas

--- QUOTE ---
@Sabine
Also im NN7 und IE6 steht die URL auch ohne die Zugangsdaten. Vielleicht hat es was damit zu tun, dass es sich um einen Ordner und keine bestimmte Datei handelt. Müsste man mal mit einer Datei als Ziel ausprobieren...
--- QUOTE END ---

Ich glaube deswegen funktioniert es gerade, denn wenn man einen Slash setzt, dann steht es drin (laut Sabine). Es ist ja eigentlich ein Verzeichnis-Schutz und ein Verzeichnis wird immer mit Slash hinten angegeben. Naja und wie der Zufall so will, wird somit das PW nur angezeigt, wenn es sich auch in der Adressleiste um ein Verzeichnis handelt. Das wäre jetzt ein Verdacht von mir bzw. eine mögliche Lösung.

BTW: im Opera 6.01 sieht man auch kein PW und kein Username.

Noch einen schönen ersten Advent!
Ollli

Hab nochmal ne Frage zu dem Refresh:

<META HTTP-EQUIV=Refresh CONTENT='0;URL=http://$username:$password\@$schutzurl'>

Da steht zwar Content=0, trotzdem kommt (bei mir zumindest) erst noch eine weiße(leere) Seite für ein paar Sekunden, wenn man sich anmelden will. Ist das bei euch auch so?

Wenn sich das nicht verhindern lässt, kann man dann - "um die Wartezeit zu verkürzen" - einen kleinen Text ausgeben? Z.B. 'Einen Augenblick bitte...' oder so... und vielleicht in Bildschirmmitte :)

Gruß Andreas

Hallo Hanü,

Du kannst den HTML-Code der Seite natürlich beliebig erweitern

print "<HTML><HEAD><META HTTP-EQUIV=Refresh CONTENT='0;URL=http://$username:$password\@$schutzurl'>\n";
print "<meta http-equiv='cache-control' content='no-cache'>\n";
print "<meta http-equiv='pragma' content='no-cache'></HEAD>\n";
print q~
<body>
Hier kannst Du beliebigen HTML-Code einfügen.
</body>
~;
print "</HTML>\n";

Grüße von Sabine


[Netscape 4 ist mein Freund]

Ok, hab versucht, das anzupassen. Jetzt geht's aber nicht mehr :(

#!/usr/bin/perl
use CGI qw(:standard);
$schutzurl = "sub.domain.de/login"; # URL des passwortgeschützten Verzeichnis
$query = new CGI;
$username = $query->param('username');
$password = $query->param('password');
&login if ($username && $password && $ENV{'REQUEST_METHOD'} eq "POST");
sub login{
print "Content-type: text/html;charset=iso-8859-1\n\n";
print "<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">\n";
print qq|
<html>
<head>
<meta http-equiv="content-type" content="text/html;charset=iso-8859-1">
<title>SUB.Domain.de</title>
<meta http-equiv=refresh content="0;URL=http://$username:$password\@$schutzurl">
<meta name="robots" content="noindex, nofollow, noarchiv">
<meta http-equiv="cache-control" content="no-cache">
<meta name="pragma" content="no-cache">
<link href="../domain.css" rel="stylesheet">
</head>
<body>
<table width="100%" border="0" cellspacing="0" cellpadding="0" height="100%">
<tr><td align="center" valign="middle">
<p><b>Einen Augenblick, bitte...</b></p>
</td></tr></table></body></html>
|;
exit;
}

Hallo Hanü, das dürfte ausreichen:

#!/usr/bin/perl
use CGI qw(:standard);
$schutzurl = "abi.hanue.de/login"; # URL des passwortgeschützten Verzeichnis
$query = new CGI;
$username = $query->param('username');
$password = $query->param('password');
&login if ($username && $password && $ENV{'REQUEST_METHOD'} eq "POST");
sub login{
print "Content-type: text/html\n\n";
print "<HTML><META HTTP-EQUIV=Refresh CONTENT='0;URL=http://$username:$password\@$schutzurl'>\n";
print "<meta http-equiv='cache-control' content='no-cache'>\n";
print "<meta http-equiv='pragma' content='no-cache'></HEAD>\n";
print q~
<body>
<p align="center"><b>Einen Augenblick, bitte...</b></p>
</body>
~;
print "</HTML>\n";
exit;
}

Das Script hat wegen dem <titel> und <link rel> nimma richtig funktioniert. Ich weiß nur nicht, welshalb... Naja, den Link zum CSS brauch ich nicht wirklich, aber einen Seitentitel hätt ich da schon gern, auch wenn man diese Seite nur ne Sekunde zu sehen kriegt...

Das Warten entsteht durch das Laden der anderen Seite, denn nicht alle haben DSL (so wie ich jetzt *riesigfreu*) und von daher ist die Seite eben noch bissl zu sehen, was auch das Sicherheitsrisiko wieder erhöht, denn ein schneller kann hier noch die Login-Daten lesen, doch meist sitzt ja der eingeloggte selbst vorm Moni bzw. der, dem die Login-Daten nicht gehören muss ja irgendwie anders an diese herangekommen sein ;-)

Ollli