Kennwort bei Falsch-Eingabe nicht speichern

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Kennwort bei Falsch-Eingabe nicht speichern

    Hallo,

    ich habe seit längerem ein Login-Script über dass sich die User via HTTP-Formular bei uns einloggen können.

    Nun habe ich festgestellt, dass es möglich ist das Passwort im Browser zu speichern, auch wenn das Passwort falsch eingegeben wurde und dadurch der Login scheitert. Gibt es eine Möglichkeit wie beim Verzeichnis-Schutz mit .htaccess?. Hier speichert der Browser erst dann das Passwort wenn die Authentifizierung erfolgreich war.

    Kann man das bei einem Login mit einem HTTP-Formular auch erreichen? Vielleicht mit einem bestimmten Header?

    Gruss
    Quetschi
    Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
    Schön - etwas Geschichte kann ja nicht schaden.
    Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

  • #2
    Re: Kennwort bei Falsch-Eingabe nicht speichern

    ich glaube kaum.
    dein browser speichert die daten auf der seite, wo sich das formular befindet. ob das passwort gültig ist, weiß zu diesem zeitpunkt weder dein browser noch der server - weil das formular noch gar nicht abgeschickt wurde.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      Danke für die Antwort

      Ich dachte es könnte vielleicht ähnlich wie bei .htaccess realisiert werden, hier speichert der Browser erst dann das Passwort, wenn die Authentifizierung erfolgreich war und das wird doch bestimmt durch einen bestimmten Header erreicht, oder?

      Mein Gedanke wäre halt gewesen, dass sich das Verhalten des Browsers evtl. hier ebenfalls über einen bestimmten Header steuern lassen würde.

      Grob umrissen:
      PHP-Code:
      <?php

      if($_POST["pass"] == $db_pass)
      {
          
      header("Status 200 OK");
          
      //Hier soll der Browser das Passwort speichern
      }
      else
      {
          
      header("Status 401 Unauthorized");
          
      //Hier soll der Browser das Passwort wieder vergessen
      }

      ?>
      Das dumme daran ist nämlich, das manchmal die unbedarfteren User sich beim Passwort zum ersten mal vertippen, der Browser dann das (falsche!) Passwort aber speichert und beim nächsten Login-Versuch automatisch gleich wieder vorschlägt.
      Die naiven unter den Usern verstehen dann immer die Welt nicht mehr, wenn der PC doch das Kennwort schon reinschreibt und dann stimmt es doch nicht -> doofes Internet

      Gruss
      Quetschi
      Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
      Schön - etwas Geschichte kann ja nicht schaden.
      Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

      Kommentar


      • #4
        Original geschrieben von Quetschi
        Ich dachte es könnte vielleicht ähnlich wie bei .htaccess realisiert werden, hier speichert der Browser erst dann das Passwort, wenn die Authentifizierung erfolgreich war und das wird doch bestimmt durch einen bestimmten Header erreicht, oder?
        bei diesem mechanismus ist das verhalten aber definiert - falsches passwort, server antwortet erneut mit passwort erforderlich bzw. zugriff verweigert.
        also kann ein browser sich auch schon vorher darauf einstellen, dass die antwort des servers etwas über die gültigkeit des passwortes aussagt.

        Mein Gedanke wäre halt gewesen, dass sich das Verhalten des Browsers evtl. hier ebenfalls über einen bestimmten Header steuern lassen würde.
        nope, ich glaube kaum.

        du schickst ein einfaches HTML-formular ab - die antwort darauf kann alles mögliche sein.
        es gibt absolut keinen grund für einen browser anzunehmen, dass die server-antwort eine aussage über die gültigkeit des passwortes in irgendeiner für ihn verständlichen form enthalten wird.

        Das dumme daran ist nämlich, das manchmal die unbedarfteren User sich beim Passwort zum ersten mal vertippen, der Browser dann das (falsche!) Passwort aber speichert und beim nächsten Login-Versuch automatisch gleich wieder vorschlägt.
        Die naiven unter den Usern verstehen dann immer die Welt nicht mehr, wenn der PC doch das Kennwort schon reinschreibt und dann stimmt es doch nicht -> doofes Internet
        tja, pech für DAUs.

        die sollen dann mal schön langsam lernen, mit dem www und ihrem browser umzugehen.
        dadurch, dass man solchen deppen ständig den arsch nachträgt, wird's auch nicht besser.
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar


        • #5
          Daran hab ich eben auch schon gedacht, dass hier ja sonst was daherkommen kann, ich fragte halt in der Hoffnung dass doch jemand mehr weiß als ich.

          tja, pech für DAUs.
          Prinzipiell auch meine Meinung, nur leider sind geschätzte 75% unserer Kunden eben solche DAU's und die Kunden sind nunmal König.
          Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
          Schön - etwas Geschichte kann ja nicht schaden.
          Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

          Kommentar

          Lädt...
          X