hi, zun�chst mal vielen Dank! Aber irgendwie hat mir die Diskussion um die Cookies nicht wirklich weitergeholfen.
Sollte meine gew�nschte Funktion mit Cookies l�sbar sein, dann nehm ich doch aber an, wenn ihr von PHP-Funktionen redet, da� ich ohne Programmierung nicht weiterkomme. Ist das richtig? Ich habe zun�chst gehofft, da� ich mit dem selben "AuthName" das mehrmalige Prompten der Passwortabfrage verhindern kann. Scheinbar geht das aber nur innerhalb eines Hosts: "Therefore, you can prevent a user from being prompted more than once for a password by letting multiple restricted areas share the same realm. Of course, for security reasons, the client will always need to ask again for the password whenever the hostname of the server changes." Kann irgendjemand bez�glich der Cookies eine gesicherte Aussage treffen und mir vielleicht auch mit Beispielen weiterhelfen oder einen anderen L�sungsvorschlag unterbreiten? Im Vorraus besten Dank, Gru� Steffen Lenz > -----Urspr�ngliche Nachricht----- > Von: Erik Abele [mailto:[EMAIL PROTECTED] > Gesendet am: Montag, 7. M�rz 2005 14:05 > An: [email protected] > Betreff: Re: AW: AW: LDAP-Auth. auf mehreren Apache-Servern ->Single > Sign-On > > On 07.03.2005, at 13:52, Dieter Soost wrote: > > > Hallo, > > > >>> Cookies werden nur vom Netz zum PC "gesendet", nicht > zur�ck. Zur�ck > >>> zum Netz > >>> (Server) kommen sie durch "Abfrage". > >>> > >>> D.h., der Server "fragt" den PC, ob er einen bestimmten > Cookie hat. > >> > >> Na das w�re ab �usserst unpraktisch bzgl. Sicherheit - da > k�nnte ein > > > > Genau deshalb wird ja immer vor diesen "harmlosen" Keksen gewarnt... > > Nein, das hat andere (aber �hnliche) Gr�nde. > > >> Webmaster ja einfach alle Cookies seiner Nutzer auslesen (bzw. > >> 'Abfragen' wie Du es nennst) und die dazu verwenden um sich auf den > >> entspr. Seiten zu authentifizieren... hmmm... da solltest Du mal > > > > Ne ne, so einfach ist das nun auch wieder nicht. Man kann > die Dinger > > n�mlich > > auch verschl�sseln, was jeder macht, schon dehalb, damit > der User nicht > > sieht, was da drin steht... > > Haha, ist doch mir egal was da drinsteht, wenn die 'verschl�sselte' > Cookie-Version vom Server akzeptiert wird und genau das macht was sie > soll. Ich denke das ist Augenwischerei mit der Verschl�sselung... > > > Btw: Hast Du noch nie einen "sextrackercom" Cookie auf der Platte > > gehabt ? > > Dazu musst Du nicht mal die Seiten besuchen, die der Name > suggeriert... > > Naja, es kann ja ein bel. Cookie vom einem Server 'gesetzt' > werden aber > eben nicht ausgelesen/abgefragt - du bekommst da momentan ganz > eindeutig was durcheinander. > > >> gr�ndlich dr�ber nachdenken. > > > > Ich habe dr�ber nachgedacht ;-) > > Scheint mir nicht so, sorry :( > > > Deswegen werden von meinem System grunds�tzlich Cookies > abgelehnt. Ok, > > das > > schr�nkt meine Surf-M�glichkeiten nat�rlich ein, aber "Trau > - Schau- > > Wem" > > :-) > > > >>> Schau mal ins PHP-Manual: "GetCookie", ist einer der Befehle. > >> > >> Lt. http://www.php.net/manual-lookup.php?pattern=GetCookie&lang=de > >> gibt > >> es keinen 'Befehl' mit diesem Namen; > > > > Sorry, dann heist wohl so meine selbstdefinierte Funktion > im include > > so. > > M�sste ich mal nachschauen, wie genau die Funktion heisst, > ist schon > > Jahre > > her (Wenn includes fertig sind und funktionieren, sehe ich da nie > > wieder > > rein). > > > > Aber ok, wird langsam OT das Thema... :-) > > Ok, das ist tats�chlich OT aber wie sieht es denn dann mit den > verwendeten HTTP-Headern aus? Was macht denn Deine selbstdefinierte > Funktion in dieser Richtung? Gibt es bei Dir etwa einen > Get-Cookie-Header mit dem der Server den Client zur > �bermittlung eines > Cookies veranlasst? Und wann macht das der Client dann? Bei der > n�chsten Verbindung? Oder ist bei Deiner Theorie in diesem > Fall gar der > Server der Client? > > Naja, no comment... > > Cheers, > Erik > -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------
