Password Protect

Extensions, Bedingungen und Preise, Third Party Apps
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 5743
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Password Protect

Ungelesener Beitrag von Tommy Herrmann »

Neue Erweiterung "Password Protect" seit v5.7.11 BETA von Mobirise zum Schutz einzelner Seiten.

Man kann am Zahnrad an den Seiteneinstellungen nun unten auf jeder Seite ein Passwort vergeben.

Damit wird die Seite online und auch bereits bei der lokalen Publizierung mittels Passwort geschützt. Weiterhin kann man dieses Feld auch vom Design-Stil anpassen:


Password-Protect-Erweiterung.jpg


Das Passwort bleibt während einer Browser-Sitzung (Session) gültig.

Die so geschützte HTML-Seite wird verschlüsselt generiert. Ob diese Verschlüsselung sicher ist, vermag ich gerade noch nicht zu beurteilen. Vielleicht guckt mal jemand den Quelltext meiner Seite an, der was davon versteht.

Ich habe hier zum Testen für meine Besucher dieses Passwort "tester" mit als Platzhalter in das Eingabefeld geschrieben.

https://www.mobirise-tutorials.com/Tuto ... otect.html

Achtung, die Projektdatei "project.mobirise" darf bei Gebrauch von der Erweiterung "Password Protect" auf keinen Fall am Server einsehbar sein. Diese muss also entweder nach dem Publizieren am Server gelöscht werden oder durch eine .htaccess Datei geschützt sein. In dieser steht das Passwort in Klarschrift und kann von jedem gelesen werden.

Weiterhin darf nicht vergessen werden, falls man mal sein Projekt an andere zur Kontrolle gibt, wie z.B. den Mobirise-Support, dieses Passwort zuvor zu ändern oder zu löschen.

P.S.:

ACHTUNG - wenn mann die Erweiterung "Password Protect" verwendet, wird die aktuelle Projekt-Datei "project.mobirise" mittels FTP-Client von Mobirise nicht auf den Server publiziert, bzw. nicht aktualisiert.
Klaus
Supporter
Supporter
Beiträge: 439
Registriert: Mi 21. Jul 2021, 00:43

Re: Password Protect

Ungelesener Beitrag von Klaus »

Auf den ersten Blick sieht es für mich so aus als ob MR die WebCryptoAPI der Browser mit dem AES-GCM verwendet.
https://developer.mozilla.org/en-US/doc ... Crypto_API
https://www.w3.org/TR/WebCryptoAPI/#aes-gcm

Hier noch 2 gute Links dazu:
https://diafygi.github.io/webcrypto-examples/
https://github.com/diafygi/webcrypto-examples/#aes-gcm

Ob man dem traut muss jeder selber wissen, zumindest sollte man ein ausreichend komplextes Passwort verwenden damit es nicht all zu einfach mittels Brute-Force ermitteln kann.

Von der Technik her so wie ich es sehe verschlüsstelt MR beim Publizieren die Seite und legt alles in einem script Block, dazu noch das "Passwortfenster" und das JS für das Entschlüsseln dann alles in eine HTML Seite.

Mehr hab ich mit mit dem Thema auch noch nicht beschäftigt.
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 5743
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Password Protect

Ungelesener Beitrag von Tommy Herrmann »

Hallo Klaus,

na - das ist doch schon mal allerhand - danke :tu:

Hätte ja auch sein können, dass Du mal gleich die entschlüsselte Seite hier postest :D
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 5743
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Password Protect

Ungelesener Beitrag von Tommy Herrmann »

Künstliche Intelligenz ChatGPT hat geschrieben:
Ich: how save is Web Crypto API

Antwort ChatGPT:

The Web Crypto API is designed to be secure, but as with any technology, it is important to use it correctly and stay up to date with any security vulnerabilities that may be discovered. The API provides a set of cryptographic primitives that can be used to securely encrypt and decrypt data in web applications. It also provides secure key generation and storage capabilities. It is recommended to use the Web Crypto API in conjunction with other security measures, such as HTTPS and secure server-side storage, to ensure the overall security of your web application.


Ich: Bitte schreibe die letzte Antwort auch in Deutsch

Antwort ChatGPT:

Die Web Crypto API ist so konzipiert, dass sie sicher ist, aber wie bei jeder Technologie ist es wichtig, sie korrekt zu verwenden und auf dem Laufenden über mögliche Sicherheitslücken zu bleiben, die entdeckt werden können. Die API bietet eine Reihe von kryptographischen Grundfunktionen, die zum sicheren Verschlüsseln und Entschlüsseln von Daten in Web-Anwendungen verwendet werden können. Sie bietet auch sichere Schlüsselgenerierungs- und Speicherfunktionen. Es wird empfohlen, die Web Crypto API in Kombination mit anderen Sicherheitsmaßnahmen, wie HTTPS und sicheren Server-seitigen Speicherungen, zu verwenden, um die Gesamtsicherheit Ihrer Web-Anwendung sicherzustellen.
Klaus
Supporter
Supporter
Beiträge: 439
Registriert: Mi 21. Jul 2021, 00:43

Re: Password Protect

Ungelesener Beitrag von Klaus »

Tommy Herrmann hat geschrieben: Sa 21. Jan 2023, 15:25 Hätte ja auch sein können, dass Du mal gleich die entschlüsselte Seite hier postest :D
Nach ja wenn man das PW kennt einfach STRG-S dann ist es ja entschlüsselt!?

Denke es ist wie wenn man ein mit PW verschlüsseltes PDF frei ablegt,
da kann man auch nur hoffen dass es keiner "knacken" kann.

Bei einem WebServer wenn man X mal das PW einer mit .htaccess geschützten Seite
probiert bekommt man ggf. irgendwann vom Hoster eins auf die Mütze,
wenn man sich die Seite (oder PDF) lokal kopiert weil sie halt frei verfügbar ist
und ein Brute-Force Programm Passwortlisten durchtesten lässt und genügent "Power" hat
merkt das ja keiner ...
Benutzeravatar
Rancher
Moderator
Moderator
Beiträge: 465
Registriert: Di 8. Dez 2020, 18:37
Wohnort: Elsass

Re: Password Protect

Ungelesener Beitrag von Rancher »

Noch viel besser fände ich, wenn man einzelne Seiten von der Publizierung ausschließen könnte.
Wenn Dein Pferd tot ist, steig ab.
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste