Ajax mit HTTP Basic Auth

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Ajax mit HTTP Basic Auth

    heyho,

    kurz frage, weis jemand ob man mit nem XMLHttpRequest auch auf geschützte bereiche welche durch htaccess geschütz sind, zugreifen kann?

    wenn ich den weg über http://userass@domain.de nehmen funzt das nicht.. bekomm dauernd fehler.. kann man das irgendwie anders umgehen?

    wäre toll wenn mir da jemand helfen könnte =)

    thx

  • #2
    andere Frage, was hat es für einen Sinn, dass du via Javascript auf http://user: password@... zugreifen willst ? Genauso gut kannst du user & pw auf deiner Website veröffentlichen oder besser, garnicht schützen

    Kommentar


    • #3
      das ganze hat den hintergrund eines vista sidebar gadgets..

      auf dem vista rechner läuft ein server welcher in einem xml document daten ausgibt, welche wiederrum über einen http auth request geschützt sind..

      Kommentar


      • #4
        Wende eine Technik nicht an, wenn du null Ahnung hast, wie es geht. Was hindert dich andererseits, per PHP auf das Verzeichnis zuzugreifen, Daten holen und an der aufrufenden JS-Fkt. zu antworten.

        Kommentar


        • #5
          Original geschrieben von asp2php
          Wende eine Technik nicht an, wenn du null Ahnung hast, wie es geht.
          danke für schlussfolgerrungen die du dir garnicht erlauben dürftest, nur weil ich nach einer std google mich traue (!) zu fragen ob jemand ne möglichkeit kennt sowas via js zu regeln

          Original geschrieben von asp2php
          Was hindert dich andererseits, per PHP auf das Verzeichnis zuzugreifen, Daten holen und an der aufrufenden JS-Fkt. zu antworten.
          genau das mache ich derzeit, allerdings ist es sehr aufwending für otto normal verbraucher ein webserver (z.b. xampp) aufzusetzen nur für ein kleines gadget, welches man viel viel einfacher über eine js-xml lösung handhaben könnte (!) sofern es die möglichkeit gibt.

          ich möchte nur wissen ob es die möglichkeit gibt via JS header angaben direkt mit zu senden oder nicht.

          da mir das aber mit dir schon zu unfreundlich ist, such ich mir lieber gleich ne andre community die auf fragen eingeht, und nicht gleich unhöflich antwortet..

          trotzdem danke für deine aufmerksamkeit, auch wenn sie mir nicht weiter hilft.

          Kommentar


          • #6
            Was ist denn so schwer an meine Frage?

            Original geschrieben von asp2php
            andere Frage, was hat es für einen Sinn, dass du via Javascript auf http://user: password@... zugreifen willst ? Genauso gut kannst du user & pw auf deiner Website veröffentlichen oder besser, garnicht schützen
            Javascript ist nun mal clientseitig! Wie willst du denn die Zugangsdaten verstecken? Wenn du die Zugangsdaten schon in JS hast, dann brauchst du das Verzeichnis nicht mehr schützen. Denn jeder Idiot kann das darein.

            Ist das jetzt klarer?

            Kommentar


            • #7
              okay

              nochmal mit allen details


              ich habe hier einen programm server laufen welcher, wenn man möchte via http ein xml file erstellt, quasi ein mini apach auf einen bestimmten vordefinierten port mit zugangsdaten, wie nen simples HTTP AUTH

              die zugangsdaten hat nur der, der sie eingegeben hat!!

              das ganze dient NUR (!) wirklich NUR als vista sidebar gadget für ca 10-20leute wo die infos ausgelesen werden sollen

              d.h. die zugangsdaten werden sowieso über die sidebar config des einzelnen gadgets in der windows registry gespeichert und werden NICHT plaintext in ein javascript geschrieben

              heist die abfrage innerhalb des JS könnte (!) so aussehen
              Code:
              url = 'http://' + user + ':' + pass + '@' + address + ':' + port + '/info.xml';
              da das aber nicht geht hab ich mitlerweile die lösung gefunden;

              die url wird ganz normale ohne userass@ geschrieben

              und bei der XMLHTTP instanz wird im bereich "open" einfach so gehandelt

              Code:
              http_request.open('GET', url, false, user, pass);
              fertig.

              Kommentar


              • #8
                Nichtsdestotrotz hat asp2php aber recht - der sinn deines Schutzes wird von dir selbst komplett ausgehebelt....

                Kommentar


                • #9
                  Userass@domainname geht im IE ja schon seit längerem aus Sicherheitsgründen nicht mehr.
                  Alternatividee: Ein kleines IFrame (1x1 Pixel) mit geschützter URL einblenden. Die Passwortabfrage erscheint, und alle Requests danach müßten durchgehen.

                  Kommentar


                  • #10
                    So wie ich es verstanden habe geht es einfach darum, dass der Client Javascript ausführt und nur diese Clients Zugriff auf den Server erhalten sollen.
                    Inwiefern da der Schutz selbst ausgehebelt werden sollte ist mir schleierhaft bis gar nicht klar...

                    Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

                    bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                    Wie man Fragen richtig stellt

                    Kommentar


                    • #11
                      Original geschrieben von rEd1Z1_2K
                      d.h. die zugangsdaten werden sowieso über die sidebar config des einzelnen gadgets in der windows registry gespeichert und werden NICHT plaintext in ein javascript geschrieben
                      Und wie kommt Javascript an diese Daten ran, die in der Registry stehen ...?


                      Na ja, wenn du diese erst mal hast, dann sollte das m.E. kein größeres Problem darstellen - die Request-Header kann man ja auch bei XMLHTTPRequest bestimmen, und die "Kodierung" der Daten sollte sich auch hinbekommen lassen (base64 AFAIK, einfach mal in den zuständigen RFC schauen).
                      I don't believe in rebirth. Actually, I never did in my whole lives.

                      Kommentar


                      • #12
                        Original geschrieben von ghostgambler
                        So wie ich es verstanden habe geht es einfach darum, dass der Client Javascript ausführt und nur diese Clients Zugriff auf den Server erhalten sollen.
                        Inwiefern da der Schutz selbst ausgehebelt werden sollte ist mir schleierhaft bis gar nicht klar...
                        Diese Infos hat er aber erst später herausgerückt!

                        Kommentar


                        • #13
                          an die daten kommt man so:

                          Code:
                          var address = System.Gadget.Settings.read("address");
                          	var port = System.Gadget.Settings.read("port");
                          	var user = System.Gadget.Settings.read("user");
                          	var pass = System.Gadget.Settings.read("pass");
                          	var rows = System.Gadget.Settings.read("rows");
                          diese funktion bietet die sidebar und werden direkt ins JS vom IE integriert.

                          ob das den htaccess schutz aushebelt oder nicht, ist hier völlig irrelevant, da das ganze NUR, und wirklich NUR local basiert oder ggf im localen netzwerk, übers internet oder dergleichen oder domain übergreifend arbeitet ajax ja garnicht..

                          von daher.

                          Zitat von asp2php
                          Diese Infos hat er aber erst später herausgerückt!
                          hätte eigentlich auch niemand gebraucht wenn man mir nur gesagt hätte das man über "open" für genau diese fälle user & pass übergeben kann.. aber nunja, das ihr gleich ne diskussion über sicherheit aushebeln draus macht konnt ich nich riechen^^

                          Kommentar


                          • #14
                            Original geschrieben von rEd1Z1_2K
                            ob das den htaccess schutz aushebelt oder nicht, ist hier völlig irrelevant, da das ganze NUR, und wirklich NUR local basiert oder ggf im localen netzwerk, übers internet oder dergleichen oder domain übergreifend arbeitet ajax ja garnicht..

                            Also entweder bin ich jetzt komplett auf dem falschen Pferd oder ich verstehe einfach nicht was du willst.

                            Wenn das ganze Lokal ausgeführt wird, wofür dann überhaupt ein Passwort?

                            Kommentar


                            • #15
                              Original geschrieben von prego
                              Also entweder bin ich jetzt komplett auf dem falschen Pferd oder ich verstehe einfach nicht was du willst.

                              Wenn das ganze Lokal ausgeführt wird, wofür dann überhaupt ein Passwort?
                              ich zietier mich mal selbst

                              ich habe hier einen programm server laufen welcher, wenn man möchte via http ein xml file erstellt, quasi ein mini apach auf einen bestimmten vordefinierten port mit zugangsdaten, wie nen simples HTTP AUTH

                              die zugangsdaten hat nur der, der sie eingegeben hat!!
                              das Programm ist close source! also gibts dort eine sicherheitsabfrage nach passwort daten.. naja ist auch egal..

                              Kommentar

                              Lädt...
                              X