Passwort abfrage

[Trick_17]

Hallo,

ich brauche eine Passwort abfrage für meine Homepage

ich möchte ein Standard Passwort vergeben wie z.b. "volvic" und der Benutzername sollte Variabel sein ich möchte nicht für jeden einen eigenen Benutzerkonto einrichten.

Beispiel

ich habe verschiedene eMail Adressen "@hans.de" "@hanshans.de" "@test.de" "@hans.com" "@hans.net" und so weiter

wenn sich jetzt jemand einlogen will muss er seine Email Adresse als Benutzer angeben

wie zb.

Müller@hans.de und als Passwort "volvic"

es sollen quasi alle leute die bei @hans.de @hanshans.de etc. eine eMail Adresse haben zugriff auf die Website bekommen

ist etwas umständlich zu erklären aber vll. versteht ihr es ja

ich habe schon gegoogelt aber nichts brauchbares gefunden

 

[Kampfgnom]

Ich glaube ich verstehe dich. Ich glaube dass das mit htaccess schwer zu realisieren ist, kann mich aber irren. Und ich glaube deine Überlegungen haben einen Fehler:

es sollen quasi alle leute die bei @hans.de @hanshans.de etc. eine eMail Adresse haben zugriff auf die Website bekommen

Ich formuliere das mal um: Es bekommen alle Leute, die als Benutzernamen eine Email-Adresse von hans.de oder hanshans.de eingeben Zugriff. Ob ihnen der Account nun gehört oder nicht, kannst du ja schlecht Überprüfen

 

[Trick_17]

du hast es richtig verstanden. Jope ich weiß das man es nicht überprüfen kann interessiert mich (uns) aber auch nicht es sollte nur irgend wie mit php oder anderen Scripten funktionieren

 

[asdfman]

Äh... Das ist eine ganz schlechte Idee. Mach das nicht.

€: Vielleicht mal ausformulieren:
Sobald jemand das Passwort hat, kann er sich quasi als ein beliebiger User ausgeben.
und ggf. noch zusätzlich email-adressen ausprobieren um an die Spam zu versehenden.
Find ich nicht so toll :<
Wenn eh für alle Nutzer der selbe Inhalt ausgegeben wird, dann benutz doch auch nur
einen Benutzernamen. So fallen die Probleme weg.

 

[Trick_17]

das passt schon ich brauche das nur um weil vorzusotieren wer auf die Webseite darf und wer nicht klar kann es missbraucht werden aber das ist nicht schlimm da es sich hierbei um einen Onlineshop handelt, der noch im Aufbau ist und wenn sich ein Fremder einlogt mit zb. "müller@hans.de" ist ja gut für uns xD daher passt das schon

 

[Kampfgnom]

Sorry Jungs. Ihr baut einen Online-Shop und habt noch nicht mal Ahnung wie man einen SEHR einfachen Login programmiert?
Tut das bitte nicht Schonmal an die Sicherheitsrisiken gedacht? Ihr bekommt Kontodaten zugesendet etc. Das solltet ihr wirklich nicht in Angriff nehmen ohne ein paar Jährchen programmiert zuhaben.

Hier im Forum wurden (vor kurzem auch) noch Leute gleich komplett auseinandergenommen dafür dass sie so etwas vor hatten

 

[51%]

Mit PHP würd ich so machen:
Erstelle zuerst ein Array, in dem die gültigen E-Mailendungen enthalten sind
$var=array("@hans.de" "@hanshans.de" "@test.de" "@hans.com" "@hans.net"...)
Zuerst Passwort überprüfen, dann (wenn gültig) in einer Schleife mit strpos überprüfen, ob einer der Array-Einträge in der übermittelten E-Mailadresse vorkommt:

$email=die eingegeben E-Mailadresse

foreach{$var as $test}
$treffer = strpos($email, $test);
if($treffer === true){du darfst rein }else{ du musst draußen bleiben}
}

 

[asdfman]

das passt schon ich brauche das nur um weil vorzusotieren wer auf die Webseite darf und wer nicht klar kann es missbraucht werden aber das ist nicht schlimm da es sich hierbei um einen Onlineshop handelt, der noch im Aufbau ist und wenn sich ein Fremder einlogt mit zb. "müller@hans.de" ist ja gut für uns xD daher passt das schon

Das ist doch nicht dein Ernst jetzt oder?

 

[Trick_17]

Sorry Jungs. Ihr baut einen Online-Shop und habt noch nicht mal Ahnung wie man einen SEHR einfachen Login programmiert?
Tut das bitte nicht Schonmal an die Sicherheitsrisiken gedacht? Ihr bekommt Kontodaten zugesendet etc. Das solltet ihr wirklich nicht in Angriff nehmen ohne ein paar Jährchen programmiert zuhaben.

Hier im Forum wurden (vor kurzem auch) noch Leute gleich komplett auseinandergenommen dafür dass sie so etwas vor hatten

Das ist doch nicht dein Ernst jetzt oder?

Du bist verdammt begabt! Genau so funktioniert das heute!

...

"Dummheit ist auch eine natürliche Begabung." (Wilhelm Busch)

nur nochmal zum besser verstehen!

der Webshop ist von xt:commerce und wir wollen nur eine Intro Seite machen wo bestimmte Geschäftskunden von uns dort Ware beziehen können und mit dieser abfrage gleich aussortieren können ob jemand zu unseren Geschäftskunden gehört oder nicht.

das hätte ich vielleicht besser gleich am Anfang dazu geschrieben

lg
Tim

 

[Kampfgnom]

das hätte ich vielleicht besser gleich am Anfang dazu geschrieben

besser ist das

Ja dann reiße ich mal eben das Vorgehen an:

Eine Login-Seite; 1 Texteingabefeld "Mail"; 1 Passwort-Feld; 1 Submit-Button; Alles wird per POST an ein zweites Script übergeben.

Im zweiten script:
1. In $_SESSION['geschaeftskunde'] prüfen, ob der User schon eingeloggt ist -> Seite anzeigen.
2. Wenn nicht, Passwort mit dem Standard-Passwort vergleichen und prüfen ob der letzte Teil der Email mit einem Element aus dem von euch definierten Hosts-Array übereinstimmt (siehe Beitrag von 51%). Wenn alles passt -> $_SESSION['geschaeftskunde'] = true und Seite anzeigen.
3. Wenn nicht -> Fehlermeldung oder Seite für normale User anzeigen.


Ist natürlich ein sehr grober Umriss, aber ein wenig selbst beschäftigen solltet ihr euch schon Außerdem ist das ganze höllisch unsicher denke ich. Aber bei diesem System macht das auch keinen Unterschied mehr

EDIT: Ein paar Überlegungen: Also sicherer als einfach nur die Email-Domain zu überprüfen wäre folgender Ansatz.
1. Vernünftiges Login-System programmieren
2. Alle Anmeldungen werden Moderiert. Das heißt:
3. Wenn eine Anmeldung erfolgt, überprüft IHR vorm Freischalten des Accounts, ob es ein Geschäfts oder Privatkunde ist. In der User-Datenbank wird dann ein Flag gesetzt, welches entscheidet, ob der Kunde nun die Geschäftskundenseite oder die Privatkundenseite angezeigt bekommt.

Ehrlich gesagt frage ich mich gerade schon wieder, ob ich euch überhaupt richtig verstehe

 

[andr_gin]

Wieso nicht gleich einfach nur die Abfrage nach dem Passwort. Da reicht ein einfaches Textfeld und wenn er das richtige eingibt, dann kommt er weiter. Wieso so kompliziert.
Inwiefern ändert sich denn der Inhalt der Seite, wenn sich der Usernamen ändert?