URL Syntax http://[user]:[pass]@url

Hallo,
ich möchte eine Webseite erstellen, die mittels des <img>-Tags auf Bilder referenziert, die auf einen mittels .htaccess Passwort geschützt sind.
Sie sind passwortgeschützt damit sie nicht jeder betrachten kann. Meine Webseite kann man auch nur betrachten wenn man sich vorher auf meiner Seite angemeldet hat. Die Authentifizierung gegenüber des externen Bilder Webservers soll für den User aber transparent bleiben.

Habe es folgendermaßen probiert:
<img src='http://[user]:[pass]@url/bild.jpg' alt='Bild' />
Leider scheinen das nicht alle Browser zu verstehen. Angeblich stellt diese Notation ein Sicherheitsproblem dar. (Wenn z.B. der Username wie eine URL aussieht, könnte es den User täuschen)

Deswegen meine Frage ist es vielleicht auf andere Weise möglich sich zu authentifizieren? Vielleicht mittels javascript?
Oder bieten .htaccess noch andere Möglichkeiten?

Greetingz
Sam

Wenn du auf deinem Server die Rewrite-Engine benutzen darfst, ist das kein Problem, dann kannst du ganz einfach (über den Referrer) nachprüfen, ob das Bild in einer deiner Seiten, oder wo anders eingebunden ist, und je nach dem dann das entsprechende Bild liefern.

vergiss JavaScript - damit kommst Du hierbei nicht wirklich weiter.
Daß der User getäuscht werden könnte ist kein Sicherheitsproblem. Wohl eher daß das Passwort im Klartext in der Adresse steht.

Liegen die Dateien eigentlich auf dem gleichen Server wie Deine Seite?

@StGaensler
der Referrer ist aber auch kein sinnvolles Mittel, um etwas sicher zu machen.
und kann es sein, daß du was anderes meinst als Sam Smith? Er ist ja der, der die Bilder anzeigen will wenn ich es richtig verstanden habe.

futtlui schrieb:

@StGaensler
der Referrer ist aber auch kein sinnvolles Mittel, um etwas sicher zu machen.
und kann es sein, daß du was anderes meinst als Sam Smith? Er ist ja der, der die Bilder anzeigen will wenn ich es richtig verstanden habe.

Zum Vergrößern anklicken....

Wenn ich mir das noch mal genauer durchlese, kannn es gut sein, dass du Recht hast. Ich habe die Aussage "Sie sind passwortgeschützt damit sie nicht jeder betrachten kann." so interpretiert, dass er qasi auch Traffic-Klau verhindern will.

OK, vergiss mein Post oben.

Hallo,
erstmal vielen Dank für die schnelle Antwort.
Also zum Thema Sicherheit. Es sind hier keine hochsensible Daten. Also das jemand an der Leitung horcht und das Passwort abfängt wäre egal.
Es geht nur darum dass sich nicht jeder die privaten Bilder im Internet anschauen kann.
Meine Webapplication liegt auf einem anderen Server als die Bilder.
Also die Bilder liegen auf dem Webserver des Users, der meistens kostenlose Angebote benutzt (z.B. Tripod).
Deswegen weiss ich nicht, ob ich die Rewrite Engine nutzen kann.
Weiss allerdings auch nicht so genau was das ist.
Wenn es damit möglich wäre zu sagen, dass die Bilder nur gelesen werden dürfen, wenn man von meiner Webseite kommt wäre das natürlich die optimalste Lösung. Noch viel besser als die Authentifizierungs-Geschichte mittles .htaccess. Besonders weil das die Entwicklung meiner Webapplication erheblich vereinfachen würde

Gruß,
Sam

Hi,
hab herausgefunden, dass z.B. 1und1 das mod_rewrite unterstützt.
Wie würde also die .htaccess lauten wenn man den Zugriff von einer bestimmten URL zulassen will, z.B. www.xyz.de.
Wenn der Referer nicht dieser URL entspricht soll eine Forbiddenmeldung angezeigt werden.

Gruß,
Sam

Probier mal folgendes:
Sollte so eigentlich funktionieren,dass man somit nicht mehr direkt auf die Seite zugreifen kann (dann ist der Referrer nämlich leer), noch von irgendeiner anderen Seite, außer von http://www.xyz.de*

Interessant könnte für dich folgender Artikel sein: http://httpd.apache.org/docs-2.0/misc/rewriteguide.html

Hi,
also das mit deinem Code klappt nicht ganz. Er lässt mich dann nämlich gar nicht mehr auf die Dateien zugreifen.
Gibt es eine Möglichkeit sich den Inhalt von der Variablen %HTTP_REFERER anzeigen zu lassen?

Ja, erstelle eine php-Datei auf dem Server mit folgendem Inhalt:

Du hast nicht zufällig probiert, direkt auf die Dateien zuzugreifen? Das funktioniert nämlich dadurch nicht mehr. Es funktioniert nur, wenn du die Bilder auf der anderen Seite einbindest, oder einem Link von dort folgst, dann steht nämlich im Referrer was drinnen. (PS: Einige Firewalls blocken den auch. Zum Ausprobieren einfach mal kurz deaktivieren)

Ein anderer Fehler kann sein, dass du in der dritten Zeile die URL nicht korrekt eingegeben hast. Du musst die Punkte nämlich "escapen", da sie normalerweise eine andere Bedeutung haben. D.h. anstatt ».« musst du »\.« schreiben.

Hi,
also ich hab den Fehler gefunden.
Meine Webapplication greift ja auch selber auf den entfernten Server zu.
Also müsste die .htaccess so erweitert werden, dass der Server auf dem die Webappliacation läuft, also www.xyz.de, auch drauf zugreifen darf.

Also:
Wenn REFERER != www.xyz.de AND REMOTE_DOMAIN != www.xyz.de
dann zeige Fehlermeldung.

Hab das mal ausprobiert. Komm aber irgendwie nicht mit der Syntax zu recht. Vielleicht kannst du ja noch mal die eine Zeile hinzu dichten

Gruß,
Sam

Ohne Gewähr: Probier mal folgendes:

Habe was vergessen:

[NC] - GROSS- und kleinschreibung ist egal
[OR] - Verknüpfe die beiden Bedingungen mit ODER

Hi,
also irgendwie klappt das mit dem .htaccess Code nicht.
Hab jetzt mal meine zugewiesene IP (80.130.70.74) herausgefunden und dann folgenden Code ausprobiert:

Options FollowSymLinks
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^8(.*)$
RewriteRule ^(.*)$ - [F]

Eigentlich sollte ich ja jetzt mit meinem Browser auf den Webserver zugreifen können oder?
Klappt aber nicht, bekomme immer ein FORBIDDEN.

Gruß,
Sam