Skyddad hemsida
- Trådstartare Kijana
- Start datum
Uffe_Nordholm
Aktiv medlem
Skapa en sida som du vill att alla skall ha tillgång till, och döp filen index.htm och en kopia till index.html. Från dessa två filer kan du länka vart du vill, _utom_ till den sida du vill skall vara hemlig. Den hemliga sidan kan få heta vad som helst, och namnet delar du bara ut till de du vill skall ha tillgång till sidan. Fördelen med en sådan här lösning är att det inte kostar något och du behöver heller inte ställa några krav på servern. Nackdelen är att om du tar ett lättgissat namn på den dolda sidan så kan folk komma åt den utan att du vill det.
Bengus
Aktiv medlem
Rekomenderar att du laddar ner ett forumprogram som sköter säkerheten åt dig.
Typ Coppermine, Gallery eller något sådant. Trevligt om programvaran har MySQL stöd för lite metadata hantering. Ska presis prova ett nytt som heter singapore. Fördelen med det är att det är enkelt att ladda upp sina bildder direkt till forumet utan att behöva FTP:a upp bilderna manuellt.
Jag har byggt ett eget program men det tar en hel del tid i anspråk. Inget att rekomendera om man inte kan sin PHP och MySQL.
Bengt
Typ Coppermine, Gallery eller något sådant. Trevligt om programvaran har MySQL stöd för lite metadata hantering. Ska presis prova ett nytt som heter singapore. Fördelen med det är att det är enkelt att ladda upp sina bildder direkt till forumet utan att behöva FTP:a upp bilderna manuellt.
Jag har byggt ett eget program men det tar en hel del tid i anspråk. Inget att rekomendera om man inte kan sin PHP och MySQL.
Bengt
Tobiasl
Aktiv medlem
Att göra en skyddad websida är inte svårt, alla webservrar innehåller den möjligheten.
Dock måste man naturligtivs aktivera funktionen+skapa en lista med den personer som ska ha tillgång till sidan.
Om man själv sköter servern är det inga problem och det lär finnas många företag som också erbjuder den möjligheten för privatpersoner, dock misstänker jag att det kostar extra pga ökad administration.
Det finns som redan nämnts en del "trick" man kan använda i stället, men dessa är väldigt enkla att komma runt om man vet vad man gör.
Dock måste man naturligtivs aktivera funktionen+skapa en lista med den personer som ska ha tillgång till sidan.
Om man själv sköter servern är det inga problem och det lär finnas många företag som också erbjuder den möjligheten för privatpersoner, dock misstänker jag att det kostar extra pga ökad administration.
Det finns som redan nämnts en del "trick" man kan använda i stället, men dessa är väldigt enkla att komma runt om man vet vad man gör.
Kijana
Aktiv medlem
Om jag förstått det hela rätt blir sidornas adress i stil med minsida.se/index.htm och minsida.se/hemlig, och där man byter ut namnet hemlig mot något mer komplicerat och just hemligt?
Men innehållet på sidorna blir väl sökbart? Har jag bilder och text från säg Köpenhamn dyker väl sidan upp hos Google vid sökning?
Annars är ditt förslag på lösning något som passar mig ganska ypperligt då jag saknar kunskaper i php och ännu inte har tillgång till någon server där jag kan köra skript.
Tack alla för alla svar!
epep
Aktiv medlem
De sidor som är sökbara är i princip av 2 olika typer:
1. Sidor som man bett sökmotorn att indexera
2. Sidor som är länkade från andra sidor som sökmotorn indexerar.
Lägger man upp en sida som inte uppfyller ovanstående krav kommer den inte att indexeras. Sökmotorn kommer aldrig att hitta den.
Det är enkelt att lösenordsskydda sin hemsida utan att behöva något scriptstöd. I tex apache, och jag antar även i iis, är det mycket enkelt. I apache är det bara att skapa en .htaccess-fil med viss information och lägga i den katalog man vill skydda (detta förutsätter att servern är konfigurerad så att den tillåter accessfiler) samt att skapa en lösenordsfil.
1. Sidor som man bett sökmotorn att indexera
2. Sidor som är länkade från andra sidor som sökmotorn indexerar.
Lägger man upp en sida som inte uppfyller ovanstående krav kommer den inte att indexeras. Sökmotorn kommer aldrig att hitta den.
Det är enkelt att lösenordsskydda sin hemsida utan att behöva något scriptstöd. I tex apache, och jag antar även i iis, är det mycket enkelt. I apache är det bara att skapa en .htaccess-fil med viss information och lägga i den katalog man vill skydda (detta förutsätter att servern är konfigurerad så att den tillåter accessfiler) samt att skapa en lösenordsfil.
Senast ändrad:
epep
Aktiv medlem
Du får gärna förklara hur sidan kan vara sökbar och nåbar, och framförallt hur sökmotorernas webcrawlers når den om den varken är länkad från annan sida eller någon har bett att få den indexerad.
Det skulle var en mycket intressant teknisk information. (Om vi nu bortser från den mycket ringa sannolikheten att tex google har satt ett flerta datorer i promiskuöst mode på strategiska ställen runt om i världen och de därigenom sniffar all, eller merparten av, trafik på internet).
Dessutom borde detta problem också vara lätt att lösa genom att lägga in en robots.txt.
Finns det bara en index.htm/index.html, eller vad nu webservern har för inställning för detta, kommer webservern inte att visa fillistningen. Dessutom brukar det vara kutym att stänga av fillistningar på en webserver.
Det skulle var en mycket intressant teknisk information. (Om vi nu bortser från den mycket ringa sannolikheten att tex google har satt ett flerta datorer i promiskuöst mode på strategiska ställen runt om i världen och de därigenom sniffar all, eller merparten av, trafik på internet).
Dessutom borde detta problem också vara lätt att lösa genom att lägga in en robots.txt.
Finns det bara en index.htm/index.html, eller vad nu webservern har för inställning för detta, kommer webservern inte att visa fillistningen. Dessutom brukar det vara kutym att stänga av fillistningar på en webserver.
Eveningstar
Aktiv medlem
Om man inte vill ha fysiska filer som folk kan gissa sig fram till eller dyligt så kan man lägga dessa i databasen också. Då är det endast du som kan hämta datan och där igenom även säga vilka som får titta på den.
Uffe_Nordholm
Aktiv medlem
Du har förstått helt rätt när det gäller namnen. index.htm(l) blir den sida alla kommer åt, bara man skriver in adressen till din hemsida (www.minsida.se eller liknande). Hemlig.htm(l) kommer man inte åt annat än om man vet om att den finns. Du måste se till att inte länka till den från någon sida, och be dina besökare att inte länka till den.
Sidor du gömmer på detta vis blir inte sökbara med mindre än att någon registrerar sidorna hos en sökmotor. Om det inte finns länkar till sidorna kan sökmotorerna inte hitta dem och därmed inte lägga upp dem i sina register.
Jag har själv dolt saker på min server på detta vis, och tycker det fungerar tillfredsställande. Behovet av säkerhet är inte stort, och denna metod kräver inte att besökarna skall logga in, bara att de skall komma ihåg hur de skall hitta sakerna.
Jag inser att detta sätt att begränsa åtkomsten till filer på en server är väldigt osäkert, och inte skall användas för sådant som måste hållas hemligt från utomstående. Har man sådant på en server som måste hållas hemligt borde man se till att antingen lära sig serverns inloggningsmöjligheter eller använda PHP/ASP eller liknande för att begränsa åtkomsten på andra sätt.
Om du vill kan du lära dig andra sätt att begränsa åtkomsten till filer. Du kan läsa på http://httpd.apache.org/docs-2.1/howto/auth.html om vissa möjligheter som finns i Apache (en av de populäraste serverprogrammen). Om du inte har just Apache får du försöka hitta motsvarande dokumentation för den server du använder.
Tobiasl
Aktiv medlem
Först så ska jag påpeka att jag gjorde ett tankefel, när jag skrev "sökbar" menade jag inte att den var automatiskt indexerad hos ex. google utan att en utomstående kunde söka igenom den..
Men som påpekats ovan fungerar det bara om fillistning är på, men det är det faktiskt relativt ofta som den funktionen inte är avstängd eller låter användaren bestämma det själv.
.
Typexemplet är hemsidor som ligger i hembibiblioteket hos användare på ex. universitet.
anta att länken är www.universitet.se/~userx
skriver man det så omdirigerar servern dig till en viss sida
ex. ~userx/WWW/index.html
om man nu tittar runt så kanske man upptäcker att vissa bilder på sidan ligger i biblioteket
~users/WWW/foton
om jag nu istället skriver ~userx/foton
så kan det mycket väl hända att servern helt enkelt listar innehållet i hela det biblioteket både "hemliga bilder" och de man länkat till från index.html; dvs att ha en fil index.html "skyddar" bara de filer som ligger under själva WWW biblioteket.
(när jag tänker efter borde man väl i princip skulle man väl kunna förhindra detta genom en chmod men det verkar inte vara så vanligt)
Det finns även andra varianter, vid nått råkade jag ut för en server där man kunnde lista filinnehållet bara genom att gå in via ett annat protokoll,
dvs något i stil med
\\ip-address\biblioteksnamn
(återigen måste man först lista ut vad biblioteket heter via att ex. kolla länkar på sidan)
men det var ett rent konfigurationsfel med fel satta behörigheter.
Slutligen finns det säkert en hel hög andra möjligheter om man vet vad man gör, detta var bara de "officiella" varianterna.
.
Det ska påpekas att detta inte SKA fungera på en korrekt konfigurerad server, men det är som sagt relativt vanligt att det gör det ändå och det inte alltid man har någon möjlighet att påverka det som användare.
Men som påpekats ovan fungerar det bara om fillistning är på, men det är det faktiskt relativt ofta som den funktionen inte är avstängd eller låter användaren bestämma det själv.
.
Typexemplet är hemsidor som ligger i hembibiblioteket hos användare på ex. universitet.
anta att länken är www.universitet.se/~userx
skriver man det så omdirigerar servern dig till en viss sida
ex. ~userx/WWW/index.html
om man nu tittar runt så kanske man upptäcker att vissa bilder på sidan ligger i biblioteket
~users/WWW/foton
om jag nu istället skriver ~userx/foton
så kan det mycket väl hända att servern helt enkelt listar innehållet i hela det biblioteket både "hemliga bilder" och de man länkat till från index.html; dvs att ha en fil index.html "skyddar" bara de filer som ligger under själva WWW biblioteket.
(när jag tänker efter borde man väl i princip skulle man väl kunna förhindra detta genom en chmod men det verkar inte vara så vanligt)
Det finns även andra varianter, vid nått råkade jag ut för en server där man kunnde lista filinnehållet bara genom att gå in via ett annat protokoll,
dvs något i stil med
\\ip-address\biblioteksnamn
(återigen måste man först lista ut vad biblioteket heter via att ex. kolla länkar på sidan)
men det var ett rent konfigurationsfel med fel satta behörigheter.
Slutligen finns det säkert en hel hög andra möjligheter om man vet vad man gör, detta var bara de "officiella" varianterna.
.
Det ska påpekas att detta inte SKA fungera på en korrekt konfigurerad server, men det är som sagt relativt vanligt att det gör det ändå och det inte alltid man har någon möjlighet att påverka det som användare.
epep
Aktiv medlem
Håller med om allt du skriver.
Har bara en kommentar vilken rör säkerheten vid inloggning med resp utan script kontra "att gömma sidan genom att ge konstigt namn"-metoden.
Den kan tyckas som att gömma-metoden är _betydligt_ osäkrare, men det är den inte.
Rent faktiskt skickas lösenord till apache, om inte ssl ("https") eller digest authentication används, i klartext. Alla som kan inspektera tcp-paketen kan komma åt informationen. På samma sätt är det om man använder php och inte kör med någon form av hashfunktion eller ssl ("https"). Således skiljer inte mycket från fallet med "gömma"-sidan metoden om man kör "som vanligt".
Nackdelen med "gömma sidan"-metoden är att sidan kan komma att ligga i webläsarens historia, att folk kan få för sig att länka till den, att man kan glömma att lägga in en index.hmtl eller att man glömmer att stänga av fillistning (därtill finns vissa problem på själva servern).
I övrigt är det inte mycket som skiljer ur ett rent säkerhetsperspektiv vad jag kan komma på just nu.
raderad12
Aktiv medlem
Vad är det för server, vilken mjukvara kör den och vilka rättigheter har du?
Mest troligt så är det Apache som körs på servern, och Apache har en åtkomstfunktion med användarnamn och lösenord som du kanske har rättighet att aktivera, men detta måste du fråga ditt webbhotell om.
I katalogen som du vill ge åtkomst till genom lösenord så skapar du en fil som heter: .htaccess (observera att filen börjar med en punkt, det är så man skapar dolda filer i unixvärlden). Denna fil anger bla. hurvida lösenord behövs eller ej, men det finns många andra konfigureringar som kan göras också, på servern finns också ett program som heter htpasswd som skapar användarnamn och ett krypterat lösenord i en fil som heter .htpasswd, .htaccess-filen måste också hänvisa till denna lösenordsfil. Apache har också funktionalitet att skicka känslig data med kryptering för att ytterligare höja säkerheten.
På apache.org kan du läsa mer om hur man konfigurerar Apache genom htaccess, läs även sidan om: Authentication, Authorization and Access Control. Men som sagt, du måste kolla med ditt webbhotell om vilka funktioner du är tillåten att använda. En del ISP:er har det avstängt och tilllåter bara systemadministratören att konfigurera, det kan också vara så att ditt webbhotell redan har något färdigt script eller nån form av CGI som automatiserar åtkomstskydd per katalog-basis, så kolla med ditt webbhotell.
Mest troligt så är det Apache som körs på servern, och Apache har en åtkomstfunktion med användarnamn och lösenord som du kanske har rättighet att aktivera, men detta måste du fråga ditt webbhotell om.
I katalogen som du vill ge åtkomst till genom lösenord så skapar du en fil som heter: .htaccess (observera att filen börjar med en punkt, det är så man skapar dolda filer i unixvärlden). Denna fil anger bla. hurvida lösenord behövs eller ej, men det finns många andra konfigureringar som kan göras också, på servern finns också ett program som heter htpasswd som skapar användarnamn och ett krypterat lösenord i en fil som heter .htpasswd, .htaccess-filen måste också hänvisa till denna lösenordsfil. Apache har också funktionalitet att skicka känslig data med kryptering för att ytterligare höja säkerheten.
På apache.org kan du läsa mer om hur man konfigurerar Apache genom htaccess, läs även sidan om: Authentication, Authorization and Access Control. Men som sagt, du måste kolla med ditt webbhotell om vilka funktioner du är tillåten att använda. En del ISP:er har det avstängt och tilllåter bara systemadministratören att konfigurera, det kan också vara så att ditt webbhotell redan har något färdigt script eller nån form av CGI som automatiserar åtkomstskydd per katalog-basis, så kolla med ditt webbhotell.
raderad12
Aktiv medlem
Jag svarar åt honom. Detta är ett typfall av "security by obscurity", ett klassiskt feltänk inom informationsäkerhet. Det räcker ju med att någon tanklös tillåten besökare gör en hemsida som länkar till den hemliga filen -> indexerar då en sökspindel denna länkande sida .. så är hemligheten ingen hemlighet längre, all säkerhet som bortblåst. Den tillåtna besökaren kan ju också få intrång, eller ha bekanta på besök som lånar datorn där sidan är lagd som ett bokmärke i webbläsaren, denne kanske tom. mailar adressen till en mailinglista, usenet eller nåt webforum, så är det helt plötsligt sökbart och åtkomligt för hela världen.
Skall det vara säkert så skall både användarnamn och lösenord krävas av servern innan den lämnar ut informationen, för bästa säkerhet så bör detta då också göras med en kryptografisk nyckel, mig veterligen så har alla webbservrar av idag denna funktionalitet, men hurvida serveranvändarna har rättighet att använda denna funktionalitet är en annan sak...
epep
Aktiv medlem
Ja, det är security by obscurity. Det är även i viss mån basic authentication och den vanliga scriptbaserade inloggningen som finns. Dock inte i samma utsträckning. Jag har redan disk detta i en tidigare postning som tar upp precis de saker du anger.
Du svarar inte heller på min fråga vilken var "hur ska ... om ...".
raderad12
Aktiv medlem
Någon mailar adressen på usenet var ju ett exempel, någon lånar datorn var ett annat, datorintrång ett tredje. Alla dessa leder till att "om" faller. Det finns ett franskt ordspråk som i runda slängar säger att: med ett enda "om" så kan hela Paris med eiffeltorn och allt rymmas i en flaska. De enda gångerna som "index.htm-tricket" kan ha sin plats är om man själv (och ingen annan) tillfälligt vill gömma något som man själv (å ingen annan) vill ha åtkomst till från annan dator, men då bör man också säkerställa att man inte lämnar spår på den andra datorn, alternativt att skyndsamt radera filen man velat hålla hemlig.
