Apache login mit zusätzlicher Grafikkennung (Perl/CGI)

[thread]17517[/thread]

Apache login mit zusätzlicher Grafikkennung

Tags: perl5 CGI Ähnliche Threads

Leser: 18

Articles: hide open all | hide show old branches

+6 replies
Gast Roger

2012-06-26 10:29

Hallo,

auf meinem Webserver wird sich mit usernamen und passwort httaccess eingeloggt.
Um gegen einen Script-Angriff der usernamen und passwort automatisch füllt dagegen zu wirken, habe ich mir überlegt ein zusätzliches Feld zur Eingabe zu generieren. Bei vielen Webseiten wird eine zufällige Grafik mit Zahlen/Buchstaben angezeigt die man mitsenden/ausfüllen muss.

Mein Gedanke:
eine eigene Login-Webseite in die ich eine Grafik einfüge, die ich per Zufall generiert habe.(GD-Modul) Diese irgenwie vom http access beim ersten Aufruf der ip anzeigen. Wie kann ich jedoch den Rückgabewert auswerten und mit dem Inhalt der access vergleichen.....
bzw. wo trage ich das Script ein damit es beim ersten Zugriff geladen wird ?

Fragen über Fragen.

Wer hat hier Tips, vielleicht gibt es etwas fertiges, oder zeigt den grundsätzlichen Weg oder aber eine andere Verbesserung des Login's

Gruß
roger
Last edited: 2012-06-26 11:18:07 +0200 (CEST)
- moritz
  
  2012-06-26 11:19
  
  User since
  2007-05-11
  923 Artikel
  HausmeisterIn
  
  Such mal nach "Captcha", wenn ich dich richtig verstehe suchst du sowas.
  Perl 6 - Perls Zukunft
- bianca
  
  2012-06-26 11:45
  
  User since
  2009-09-13
  6977 Artikel
  BenutzerIn
  
  Guest Roger
  wo trage ich das Script ein damit es beim ersten Zugriff geladen wird ?
  
  Warum machst du nicht ein komplett eigenes Berechtigungssystem und läßt htaccess & Co. ganz weg? "Drum herum" zu bauen erscheint mir aufwendiger, als es ganz selbst zu machen.
  Gegenfrage: Was kann man denn auf deinem Server derzeit machen, wenn man eingeloggt ist?
  10 print "Hallo"
  20 goto 10
- rosti
  
  2012-06-26 11:47
  
  User since
  2011-03-19
  3194 Artikel
  BenutzerIn
  
  Quote
  auf meinem Webserver wird sich mit usernamen und passwort httaccess eingeloggt.
  Um gegen einen Script-Angriff der usernamen und passwort automatisch füllt dagegen zu wirken, habe ich mir überlegt ein zusätzliches Feld zur Eingabe zu generieren. Bei vielen Webseiten wird eine zufällige Grafik mit Zahlen/Buchstaben angezeigt die man mitsenden/ausfüllen muss.
  
  Authorization Basic: Den Prompt für Name/Passwort erzeugt der Browser. Ein zusätzliches Feld da einzubauen ist nicht möglich.
  
  Anderer Vorschlag: Baue einen richtigen Login, Name/Passwort. Du brauchst dazu eine Passwortdatei, dazu passende Module gibts auf CPAN. Die Passworte dürfen natürlich auch als Hash in einer DB hinterlegt sein.
  
  Bei einem erfolgreichen Login wird dann ein Session-Cookie gesetzt (der kann auch vorher schon vorhanden sein) und eine sog. Login-Tabelle geschrieben (Datei oder DB).
  
  Einen solchen Login zu mechanisieren ist ein bischen aufwändiger, als einfach nur einen Authorization-Basic-Header zu senden.
  
  --Rosti
- +2 replies
- GwenDragon
  
  2012-06-26 14:56
  
  User since
  2005-01-17
  14533 Artikel
  Admin1
  
  Ich würde das Login über ein Perl-Programm machen lassen, dass je nach Location oder Directory als Actionhandler für Inhalte dient.
  Siehe http://httpd.apache.org/docs/2.2/mod/mod_actions.h... und folgende.
  die Drachin, Gwendolyn
  
  Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
  - Gast roger
    
    2012-06-26 19:29
    
    puh.... das ging aber schnell, danke an alle.
    
    Das Login mit einem Perl-Programm lösen, wie GwenDragon geschrieben hat, hört sich für mich machbar an.
    
    Trotzdem benötige ich z.B. ein Beispiel. Ich verstehe auch nicht wie ich nach erfolgtem Login abspeichere das ein gültiger Login schon vorhanden ist.
    
    Wie gesagt ein Beispiel, oder vielleicht weiterführende Hilfe. Ich möchte nicht das Rad neu erfinden und ein komplettes neues Zugangssystem erstellen.
    Bestehende System erweitern und benutzen wäre meine Idee.
    
    Gruß
    roger
    Last edited: 2012-06-26 19:38:29 +0200 (CEST)

View all threads created 2012-06-26 10:29.