Passwortschutz Durch Referer Einstellungen

[SteffenG]

Hallo zusammen,

ich habe zwei Seiten auf verschiedenen Servern, die beide durch .htaccess passwortgeschützt sind. Jetzt möchte ich erreichen, dass beim Wechsel von einer Seite auf die andere kein Passwort eingegeben werden muss.
Ich dachte mir, dass ich dass durch den Referer hinkriegen könnte. Geht das?

Gibt es andere Möglichkeiten? Ich denke, man kann das Passwort in der Adresszeile mitschicken, bin mir aber nicht sicher... Außerdem wäre das auch nicht sonderlich 'sicher'...


schöne Grüße
Steffen

[db]

In der Adresszeile geht es. Besondere Unsicherheiten kann ich da nicht erkennen.

Sicher, der Eintrag steht in der MRU, aber im Autofill des Browsers dürfte er auch stehen.

Hallo,

das "Sicherheitsrisiko" liegt in öffentlichen und halböffentlichen Rechern im Büro oder Internetcafé. Da einige Browser ein so übermitteltes Passwort einfach mit der URI in er History speichern, kann jeder der kurz Zugriff auf den Rechner hat, selbiges auslesen (auch nachdem der Browser einmal geschlossen wurde oder der User sich ausgeloggt hat.). Der User müsste dann also immer nach einer Session auch die gesammelten Verläufe löschen.

Zum Säubern der MRU gibt es auch einige Tools, dass die jedoch überall zu Verfügung stehen oder vom Nutzer verwendet werden, ist eher unwahrscheinlich. Generell muss man davon ausgehen, dass bei mehreren Nutzern, die auf einen passwortgeschützten Bereich zugreifen dürfen, sich die überwiegende Anzahl verschiedener Sicherheitsrisiken nicht bewußt ist.

Ciao
Heinzelhund

Na ja, man kann auch übertreiben.

Wer auf halböffentlichen Rechern im Büro oder Internetcafé Passworte für Webseiten eingibt, dem ist so oder so nicht zu helfen! Da reicht doch ein schlichter TCP/IP-Dump um an alle Daten zu gelangen.