QUOTE (Suppi @ Do 13.08.2009, 19:51)Die Seite ist eigentlich bereits passwortgeschützt, aber nur teilweise. Da nochmals eine .htaccess mit Passwort drüberlegen wäre sehr mühsam. Ach ja, da ist natürlich auch kein PP oder sonstige Werbung drauf. Sagen wir mal so, es sollte sowas wie ein firmenübergreifendes (CH) Intranet werden.
Wenn es wichtige Daten sind, dann haben da 'Zufallslösungen' wie solche IP-Dinge nichts zu suchen. Ich habe auch Kunden von Server-Daten, die mal für ein paar Tage in den USA sind und von dort auf ihre Datenbank zugreifen. Da kann ich doch nicht sagen 'iss nicht, please come back'.
Umgekehrt wäre es eine ziemliche Sicherheitslücke, wenn irgendjemand aus der Schweiz da rauf kommt, bloß weil er eine passende IP hat.
QUOTE (Christian @ Fr 14.08.2009, 05:40)
QUOTE Da nochmals eine .htaccess mit Passwort drüberlegen wäre sehr mühsam.
Haben wir erst kürzlich für eine recht grosse Firma entwickelt, das mit dem PW funktioniert einwandfrei. Dazu kommt, dass die MA sich nur mit einem ganz bestimmten Benutzernamen (z. Bsp. ID-Nr.) anmelden / regisitrieren können. Wir haben das lange mit dem Kunden diskutiert. 100% Sicherheit bekommst Du nicht und wenn Du eine IP-Abfrage einbaust gehst Du das Risiko ein, dass Mitarbeiter wichtige Informationen nicht erhalten. Ist ein abwägen zwischen Sicherheit und Usability. Unser Entscheid ging damals in Richtung Usability weil sich der Kunde nicht damit anfreunden konnte, dass der Informationsfluss gestört wird.
Das halte ich für ein absolutes No-Go. Per .htaccess kann man solche Probleme in genau einem Fall lösen: Wenn es nur einen einzigen Nutzer gibt, der gleichzeitig auf die .htaccess kommt.
Passwörter gehören (1) in eine Datenbank (damit sie neu generiert und angefordert werden können), (2) sind personengebunden (nicht mehrere Nutzer mit demselben Passwort - letzteres führt garantiert zu Problemen, wenn Mitarbeiter ausscheiden und die Passwörter - weil es zu viele Nutzer sind, die informiert werden müßten, nicht geändert werden können, anstatt einfach den Mitarbeiter zu sperren), (3) gehören deshalb nicht in eine .htaccess, weil sie dann vom Admin einsehbar sind.
Innerhalb von Server-Daten ist das inzwischen doch ganz strikt: Passwörter sind zufallsgeneriert, 10 Zeichen lang - und können nicht selbst geändert, aber einmal täglich neu angefordert werden. Ab und zu wundern sich zwar Nutzer, aber die werden von Kunden dann immer zu mir geschickt - nach einem 20-minütigen Telefonat wird es verstanden.
<ot>
QUOTE (Suppi @ Do 13.08.2009, 19:51)@Jürgen: Kannst Du mir bitte die genauen Linzengebühren mitteilen?
Was für eine Frage! Bei einem 'hohen vierstelligen Euro-Betrag' sind das natürlich 9999,99 Euro - abzüglich 1 Cent Ayom-Rabatt.
QUOTE (Suppi @ Do 13.08.2009, 19:51)Und am besten auch gleich Dein Konto, ich überweise Dir den Betrag dann sofort. Vielen Dank für die perfekte Lösung
Wa - mal wieder zu faul zum Suchen - nech
? Steht alles auf meiner Domain - Geld könnte schon längst da sein. Faulheitszuschlag von 13,33 Euro.
</ot>