ConPresso in geschützten Verzeichnissen

Fragen und Diskussionen zu laufenden ConPresso 4.x Projekten werden in diesem Forum diskutiert.
Antworten
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

ConPresso in geschützten Verzeichnissen

Beitrag von MarkusR »

Problem: Ich habe eine ConPresso-Installation mittels eines Verzeichnisschutzes (User und PW) geschützt.

Nun funktionieren nach dem Einloggen alle Links, die mittels BASE_URL gebildet werden (in printNavigation(), der Weiterleitung der Startseite, Links zur Detailseite etc.) nicht mehr, weil dort die Logindaten in der Form
http://user:pw@domain.tld/..
abgebildet werden.

Erst nach dem festen Eintrag der URL (ohneuser:pw@) in den Systemeinstellungen funktioniert alles wie gehabt.

Wenn das so normal ist, dann dies bitte als Hinweis verstehen, wie man dennoch in einem geschützten Verzeichnis arbeiten kann. Falls man nicht mal an die Systemeinstellungen rankommt bleibt zusätzlich noch der Eingriff in die _cfg/common-local.inc.php(.dist) um dort die URL zu korrigieren.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi Markus,

die URL wird so zusammengebaut, weil das die Version ist, wie solche Benutzerdaten angegeben werden.

Es gab mal Browser, die brauchten das, weil sie sich die Server-Authentifizierung nicht von Seite zu Seite gemerkt haben.

Was mich wundert ist, wieso die URLs dann nicht mehr funktionieren? Was für einen Fehler kriegst Du denn?

Rausnehmen kannst du das in der _include/common.inc.php. Dort wird geprüft, ob PHP_AUTH_USER gesetzt ist und dann ggfs. das mit in die URL aufgenommen.

Ich kenne inzwischen keinen Browser mehr, der das braucht und überlege schon länger, ob wir das rausnehmen.

Trotzdem würde mich interessieren, wieso das nicht funktioniert.

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Was für einen Fehler kriegst Du denn?
Gar keinen Fehler.

Witzigerweise passiert einfach gar nichts beim Anklicken.

Beobachtet in IE7 und IE8.

Mit der Festschreibung der URL reicht mir das, denn das kann ich nach Freischalten des Verzeichnisses am einfachsten wieder rausnehmen.

Nachtrag: Meines Wissens wurden @-Domains doch schon vor vielen Jahren abgeschafft und als Sicherheitsrisiko eingestuft, daher dürfte ja auch kein Browser mehr auf eine URL mit einem @ drin reagieren, wenn es nicht ein mailto: davor hat...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi Markus,

@-Domains waren ein Missbrauch der eigentlichen Funktion der Parameter.

Laut dem RFC für URLs, dürfen diese so aussehen:
protocol://<user>:<password>@<host>:<port>/<url-path>

Bei den @-Domains wurde also ein Username als Unterscheidung für eine "Domain" genommen.

Da der URL-Standard meines Wissens nicht geändert wurde, sollten auch user:passwort@-URLs noch erlaubt sein.

Vielleicht hat der Microsoft das aus dem IE tatsächlich aus Sicherheitsgründen entfernt / deaktiviert. Ich vermute, die Ursache hierfür waren die Phisher, die URLs gebaut haben wie
paypal.com:langesPasswortUmDasFolgendeZuVerstecken@boeseDomain.de

Wenn jemand hierzu Details findet, würde ich mich über einen Hinweis freuen.

Ich denke, wir nehmen das jetzt aber zentral aus ConPresso raus, da es offensichtlich nicht mehr gebraucht wird und im Gegenteil Probleme verursacht.

Balu
Bartels.Schöne
ConPresso Support & Development
Antworten