Firmen scherze und anderes übles Zeugs

Und was hast du denn gegen .htaccess ? Resp was hat denn .htaccess mit PHP zu tun ?

OffTopic:

---

Best Protection Practice:
Server vom WWW tund Stromnetz trennen, in ein wasserdichtes 19 Zoll Rack einbauen und im Marianengraben versenken. Dann noch einbetonieren et voilà perfekter Zugriffschutz ohne PHP !

---

Gruss

tobi

einbetonieren nachdem ich das teil im Marianengraben versenkt habe? hmm ok ... du sorgst dann aber dafür das ich da unten nicht plötzlich aussehe ich wie ein kleiner kiesel xP weil irgendwie behagt mir der druck da unten nicht ^^ und ich glaube auch dem server nicht ... so auf diese grösse zusammengepresst zu werden.

ps: ich hab gegen .htaccess absolut nichts ... warum auch ... ich hab nur was dagegen das die leute bis vor nem monat davon überzeugt waren das ich mittels PHP genau das selbe machen könnte was die h taccess datei kann ... und zwar die verzeichnisse vor zugriff zu schützen ... irgendwie unlogisch das anzunehmen aber sie waren von überzeugt ...

najo ich glaub er meint das der kunde unbedingt den schutz mit php ham will

was man z.B. durch loginformular+sessions lösen könnte
mir aber genauso die sinnhaftigkeit entfällt wenn man htaccess benutzen kann

Dafür gefällts den Datenpaketen, solche Kompressionsraten erreichst du sonst niemals
**backTopic**
Wenn diese Nieten der Geschäftsleitung das einfach nicht verstehen wollen, dann mach doch einen Proof of Concept. Einmal php only und einmal mit htaccess. Dann zeige diesen Nieten einfach die Vor-und Nachteile der jeweiligen Lösung. Wenn die dann immer noch auf php-only schwören, dann mach es genau so wie sie es wollen und halte deine Vorbehalte schrifltich fest.
Sonst drehen sie dir im Streitfall noch einen Strick draus...

Gruss

tobi

gute idee (beides)

aber da die leute die das begutachten sowieso nur das ergebniss sehen. werd ich einfach beides machen. mit der begründung Doppelter schutz ...
is wenigstens etwas das sie verstehen.
im notfall mach ich es einfach so das ich per PHP bedingt in die HTAccess datein eingreife ... so das die Leute dann bequem neue berechtigungen hinzufügen können. wobwohl ich bei einigen ihrer bestehenden loginverfahren wirklich daran zweifle ob die sinnvoll sind.

kleines praxis beispiel.

Ist eine userkennung aus nur Zahlen sicher? selbst wenn diese mit der DB abgeglichen wird? sie minimal 5 stellig sein muss. SIE aber OHNE dazu gehöriges PW ein einloggen erlaubt?

irgenntwie verschliesst sich mir an der stelle der sinn eines login ... einfach nur ne nummer einzugeben und auf einen knopf zu drücken ...

nur so als beispiel ... was man mit kunde so alles erlebt vorallem wen kunde darauf besteht das das login verfahren nicht geändert wird ...
ich glaub nenn monat später haben die leute angerufen und gemeint wir sollten doch das login überarbeiten und sicherer machen ...

ICh frag mich heut noch was da wohl passiert war

mach es wie sie wollen und weis sie schriftlich auf die risiken hin. wenn dann später das cms gehackt wird, kannst du sagen ... "ich hab's euch gesagt!"

btw: das ist kein login, sondern ein witz. ein ziemlich schlechter obendrein.

gruß
peter

Wenn Zugriffe nur von lokalen IP Adressen her erlaubt sind und du ein gutes Log führst, dann sollte das eigentlich ausreichend sein können. Anhand des Logs könntest du böswillige Veränderungen eines lokalen Users nachvollziehen können.
Wenn aber Zugriffe auch vom www her möglich sein sollen/müssen, dann brauchst du neben der Userkennung ganz bestimmt ein PW v.a. wenn die Userkennung so etwas Primitives wie 5 Zahlen ist.

Gruss

tobi

was sagst du das mir? ich weis das dass ein schlechter witz ist. das wuste die bruteforce warscheinlich auch.

das wollte der kunde nur bis es zum ernstfall kam nicht glauben.

wie gesagt das topic heist ja Firmen scherze und anderes übles Zeugs.

Die meinen wohl das: http://php.net/features.http-auth
Klappt natürlich nur, wenn alle Anfragen, die in das Verzeichnis gehen, auf ein zentrales Script gelenkt werden. Wenn man das Rewriting direkt in der Serverkonfig einrichtet, kommt man wirklich ohne .htaccess-Datei aus.

Zum Thema: Man hat dir eine handwerkliche Berufswahl empfohlen, du hast viele Weiterbildungen gemacht, hast nun nach langem Suchen endlich eine Anstellung gefunden und ziemlich Bammel, die wieder zu verlieren.
Das klingt für mich nach einer typischen Arbeitsamtskarriere. Kein gescheiter Schulabschluß, keinen Job, staatl. organisierte Fortbildungsmaßnahmen, eine nach der anderen, einige hatten "EDV" im Titel.
Solche Fälle habe ich in meinem Umfeld auch und die schreiben auch alle so wie du.
Der Punkt ist, dass diese Schulungen ehrlich gesagt alle fürn Popo sind und wenn das deine einzige Qualifikation sein sollte, wundert mich das alles nicht.

Oo? hmm klar hat man mir das ... warum sollte man das nicht xP nicht jeder hat super zensuren aufm zeugnis wenn er die 10 klasse beendet. was irgendwie bei mir der fall war. problem an der sache ist. mit PCs und deren innereien beschäftige ich mich schon da war ich noch nicht mal in der lage einen Satz zu schreiben ... sprich seit ich 6 bin. ich bin ein PC narr wenn man so will ... ich hab mein ganzes leben lang immer mit PCs zu tun gehabt. und so lange ich denken kann hat es mich schon immer interessiert warum die teile arbeiten obwohl sie nur mit strom betrieben werden ... und warum aus einem strom an und strom aus was es ja am anfang nur war heute soetwas hat werden können.

Oo? erlich ich frag mich gerade warum ich mich rechtfertigen sollte ...

immerhin hab ich mein IHK abschluss als Fachinformatiker selber bezahlen müssen und die zwei jahre die ich bis zum abschluss hab lernen müssen auch ohne Schule geschaft habe sondern nur durch einen Betrieb ... lassen mich doch daran zweifeln ... das ich einer von dennen in deinem umfeld sein sollte.

Gut immerhin hab ich vorher nurn Staatlich anerkannten technischen Assistenten für informatik gehabt ... dafür kann ich heute aber leiterbahnen löten und begreife warum ein chip das tut was er tut. dafür weis ich was Maschinencode ist und kann ihn auch schreiben ... ich weis wie SPS funzt ... ich weis was ein Assembler macht und und ... ich könnt sogar jetzt 5 jahre danach noch aus einfachen und und oder gliedern und ein par nicht ein addierwerk aufbauen ... das serielle und parallele eingaben erlaubt.

komisch? oder? wenn ich so ein mach ich halt das depp währe dann hätte ich mich entgegen den empfelungen meiner damaligen arbeitsamt tusse (berufsberaterin) nicht für diese richtung entschieden ...

aber naja ich bin ja auch nur ein kleines licht im grossen sumpf der EDV ^^

EDIT:

---

dessen rechtschreibung sowas von fürn a... ist. aber naja ... kein Bock jetzt alles zu korrigieren

---

jaja denken ->schreiben > schreiben -> denken -.-

Nichts gegen dich aber....

... als Fachinformatiker, staatlich geprüfter technischer Assistent für Informatik und als Dozent solltest du eigentlich wissen, dass IIS keine .htaccess unterstützt

OffTopic:

---

pwned

---

*scnr*

greets

hmm wie red ich mich aus der peinlichkeit jetzt blos raus xP

ah ich weis ... überarbeitung ... nä schlechte ausrede ...

*kopf senk* mist stimmt ... das muss ich irgenntwo verdengt haben ... IIS hat ja irgendwo diesen perversen verzeichnisschutz ...

**klugscheiss**
Dieser kommt aber von Windows und nicht vom IIS
/klugscheiss**

Gruss

tobi