Hi, BeRo.

Prima, die Demo zeigt genau die Lösung, die ich mir vorgestellt habe.

die in den Grundzügen funktionsfähige online Demo ansehen, die ich mit dem WD10- und ein paar zusätzlichen PHP Scripts erstellt habe.

Wenn Du mir jetzt noch zeigen kannst, wie die PHP Scripts aussehen und wie ich die in mein Projekt einbauen kann, wird alles perfekt...

[...] Wenn Du mir jetzt noch zeigen kannst, wie die PHP Scripts aussehen [...]

Kein Problem. Die Anpassung an Dein Projekt und der Einbau sind allerdings nicht mit ein paar Mausklicks zu machen. Ein "bisschen" Arbeit musst Du schon investieren...

Am besten, Du lädst Dir zunächst mal hier die komplette Projektdatei- die exportierte Demo-Site und die PHP Scripts als ZIP Archiv herunter.

Für einen ersten Test kannst Du den kompletten Inhalt des Verzeichnisses "Export" mit einem FTP Client auf Deinem Webspace ablegen. Damit der Test funktioniert, musst Du aber vorher die IP Deines Webservers in die .htaccess Datei eintragen, die Du im Verzeichnis "Export/html" findest. Es genügt, die ersten drei Zahlengruppen der IP Adresse zu benutzen.

Wenn Du die IP nicht kennst, kannst Du das PHP Script "$ServerAdr.php" benutzen, das Du ebenfalls im Verzeichnis "Export" findest. Lege das Script auf dem Webserver ab und rufe es mit Deinem Browser auf.

Hast Du alle vorhin heruntergeladenen Dateien- und die geänderte .htaccess Datei auf dem Webserver abgelegt, sollte das root Verzeichnis so aussehen:

• Im Verzeichnis "html" liegen die .htaccess Datei und alle geschützten Seiten, die zusätzlich zum PHP Passwortschutz noch mit einer .htaccess Einstellung gesichert werden, die verhindert, dass sie direkt aufgerufen werden können. Ein direkter Zugriffsversuch zeigt nur eine 403 Fehlermeldung.

Wenn Du zum Test die URL Deiner Website aufrufst, wird automatisch das Script "index.php" gestartet. Das ist in Wahrheit die mit dem WD erstellte Startseite "index.htm", in der in einem Platzhalter über eine include Anweisung das Script "login.php" gestartet wird.

Der Platzhalter, mit dem auf der HTML Seite die PHP Login Prozedur sichtbar gemacht wird, enthält als einzige Anweisung:

-------------------
<?php include ("login.php"); ?>
-------------------

Wenn die Seite online geöffnet wird, sieht das dann so aus:

Wichtig! Weil die "index.htm" Datei PHP Code enthält, muss sie vor (oder nach) dem Upload die Endung "php" erhalten. 

Damit ist die Startseite fertig.

Der Passwortschutz wird jetzt mit diversen PHP Scripts realisiert. Da der Schutz in unserem Fall Sitzungsabhängig ist, müssen alle Scripts in der ersten Anweisungszeile zwingend mit "session_start();" beginnen.

Das PHP Script "login.php" ist das umfangreichste und das mit der höchsten Komplexität. So sieht es in der Demo aus:

------------------------------
<?php
session_start();
if(!isset($_SESSION["pass"]) && !isset($_GET["page"])) {
$_SESSION["aktion"] = 0;
}
if($_GET["page"] == "log") {
$user = $_POST["user"];
$passwort = md5($_POST["passwort"]);

if($user == "Hochzeit" && $passwort == "ed2f837af5acb5771d3460997189cc21") {
$_SESSION["pass"] = $passwort;
$_SESSION["aktion"] = 1;
}

elseif($user == "Hochzeit" && $passwort == "c421f40033caf1cdc102e879a1e73869") {
$_SESSION["pass"] = $passwort;
$_SESSION["aktion"] = 2;
}

else {
$_SESSION["aktion"] = 99;
}
}
?>

<!DOCTYPE html>
<html>
<head>
<!-- Geschützen Bereich öffnen -->
<?php
  if($_SESSION["aktion"] == 1) {
?>
  <script type="text/javascript">
   window.open("./trinken.php","_self");
  </script>
<?php
}
elseif($_SESSION["aktion"] == 2) {
?>
  <script type="text/javascript">
   window.open("./essen.php","_self");
  </script>
<?php
}
?>
</head>
<body>
<?php
if($_SESSION["aktion"] == 0) {
?>
<b><font color="#ffdb00">
<?php
if (!$_SESSION["titel"] ) {
$_SESSION["titel"] = "Bitte logge dich ein!";
}
echo ($_SESSION["titel"]);
?>
</font></b><br /><br />
<form method="post" action="login.php?page=log">
<font color="#ffdb00">Name:</font><br /><input type="text" name="user" value = "Hochzeit" /><br /><br />
<font color="#ffdb00">Passwort:</font><br /><input type="password" name="passwort" /><br /><br /><br />
<input type="submit" value="Einloggen" style="background:green; color:gold;/>
</form>
<?php
}
if($_SESSION["aktion"] == 99) {
$_SESSION["titel"] = "Fehler bei der Eingabe!\nNeuer Versuch...\n\nBitte logge dich ein!";
$_SESSION["titel"] = nl2br($_SESSION["titel"]);
?>
<script type="text/javascript">
  window.open("./index.php","_self");
</script>
<?php
}
?>
</body>
</html>
------------------------------

Die oben grün markierten Werte kannst Du an Deine Vorgaben anpassen. Sie repräsentieren Steuerparameter-, den/die Login Namen-, die Passwörter (md5 codiert)-, Infotexte-, Farbwerte für Texte und Eingabefelder-, Pfade zu den anderen PHP Scriptdateien usw. Der Sinn der einzelnen Werte ist IMO recht einfach aus dem Script zu entnehmen...

Die MD5 verschlüsselten Passwörter sind immer 32 Stellen lang, unabhängig von der Länge des jeweiligen Klartext Passwortes. Hier findest Du einen Generator, mit dem Du Deine eigenen Passwörter so verschlüsseln kannst.

Stellvertretend für die PHP Scripts, die nach erfolgreicher Login Prozedur die geschützten Seiten aufrufen, sehen wir uns mal das Script an, mit dem die Einladungsseite zum Festessen geöffnet wird:

----------------------------
<?php
session_start();
if(isset($_SESSION["pass"]) && $_SESSION["aktion"] == 2) {
include("html/essen.htm");
}
else {
?>
<script type="text/javascript">
window.open("./index.php","_self");
</script>
<?php
}
?>
----------------------------

Genau genommen wird mit dem Script nicht die HTML Seite aufgerufen, die Seite ist per include Anweisung (oben gelb markiert) in das Script integriert und wird mit dem Script geöffnet, wenn das Login erfolgreich war.
Bei fehlerhaftem- oder fehlendem Login wird über ein im "else" Zweig integriertes JavaScript, die Startseite mit der Login Aufforderung erneut geöffnet.

Auch für das o. a Script gilt, dass die grün markierten Werte an Deine Vorgaben angepasst werden können.

Für die in der Beschreibung des Szenarios zur Demo genannte Einladungsseite zum abendlichen Umtrunk, sieht das Script nahezu genauso aus. Lediglich der oben blau markierte Wert muss dann auf "1" geändert werden und der Verweis auf die Seite "html/essen.htm" wird durch den Namen "html/trinken.htm" ersetzt.

Was nun noch fehlt, ist die Logout Funktion, die so aussieht:

----------------------------
<?php
session_start();
if($_SESSION["aktion"] > 0 && $_SESSION["aktion"] < 99) {
session_destroy();
}
?>
<html>
<script type="text/javascript">
window.open("./index.php","_self");
</script>
>/html>
----------------------------

Da wir das Sicherheitskonzept Sitzungsbasiert angelegt haben, genügt es, die aktuelle Sitzung zu beenden, um alle Versuche, die geschützte Seite ohne Kenntnis des Passworts zu öffnen, sicher zu unterbinden.
Dazu benutzen wir im o. a. Script die PHP Funktion "session_destroy();"

Die laufende Sitzung wird außerdem automatisch geschlossen, wenn Der Browser geschlossen wird, es genügt allerdings nicht, nur die Registertabe zu schließen!
Der im Seitendesign vorgesehene Weg ist das Klicken des "Logout" Buttons. Damit wird die aktuelle Sitzung über das o. a. Script beendet und die Startseite "index.php" mit der Login Aufforderung erneut geöffnet.

Das ist im Wesentlichen das ganze Geheimnis des sicheren Login/Logout per PHP

Gerne viel Erfolg bei Deinen Versuchen und wenn Fragen offen geblieben sind, melde Dich einfach wieder...

Hallo, BeRo.

Das ist ja ganz großes Kino.

Vielen herzlichen Dank für Deine Mühe. Mit der Super Erklärung werde ich klar kommen.

Sollten sich neue Probleme auftun bin ich ganz sicher wieder hier, in diesem klasse Forum...

Hallo BeRo,
Ich grabe diesen Thread mal wieder aus, da ich eine (hoffentlich kleine) Frage dazu habe. Bin noch neu im Webseiten erstellen (Magix Web Designer Premium V12) und hoffe, dass ich mich mit meiner Frage nicht zu dämlich anstelle 😇

@BeRo
Dein Skript verlinkt ja auf jeweils eine html-Datei (essen.htm und trinken.htm), welche ihr Layout aus dem eigentlichen Hilfsverzeichnis der Grundseite beziehen. Das habe ich auch soweit hinbekommen und hierfür ein großes DANKE für die super Anleitung und das Skript!

Wie bekomme ich es hin, dass ich eine eigenständige Instanz einer Website inkl. eigenem Hilfsverzeichnis per Passwort schützen kann?

-> Hauptseite; Vereinsseite (eigener Hilfsordner), Seite mit Login-Skript
-> Login des Vorstands: neue, eigenständige Unter-Webseite (Unterverzeichnis /testvs) mit eigenem Menü, Links, eigenem Hilfsordner...
-> Login der Mitglieder: neue, eigenständige Unter-Webseite (Unterverzeichnis /testmg) mit eigenem Menü, Links, eigenem Hilfsordner...

Sobald ich eine eigenständige Webseite in den Passwortgeschützten Ordner lege (mit .htaccess-Datei) und mich über das Skript anmelde, wird die Seite ohne Inhalt angezeigt, also sämtliche Bilder und Hintergründe sind nur als Platzhalter da.
Rufe ich die Seite in dem Unterordner testweise "direkt" auf (ohne .htaccess-Datei), wird sie mir so angezeigt, wie sie sein soll.

Liegt das jetzt am Skript oder an der .htaccess-Datei, dass mir die Seite nicht angezeigt wird?

Mit freundlichem Gruß

[...] Liegt das jetzt am Skript oder an der .htaccess-Datei, dass mir die Seite nicht angezeigt wird? [...]

Das liegt daran, dass die über das Script aufgerufene Datei in eine bestehende HTML Datei includiert wird. Damit wird sie zum Bestandteil einer bestehenden Seite.

Wenn Du mit dem PHP Script eine eigenständige Seite im geschützten Verzeichnis öffnen willst, musst Du anstelle der "include" Anweisung z. B. die "header" Anweisung benutzen (s. Screenshot)

Natürlich musst Du die Pfad-/Dateiangaben auf Deine Site zuschneiden und daran denken, auf der eigenständigen Seite einen Button mit Link zur "Logout" Funktion zu platzieren...

Viel Erfolg

Danke vielmals für die schnelle Hilfe. Das hat grundsätzlich schon mal bestens geklappt. Ohne .htaccess-Datei werde ich sauber von der Login-Seite je nach verwendetem Passwort zur Vorstands- oder Mitgliedsseite geleitet und von dort per Logout wieder zurück.
Aber sobald die .htaccess-Datei mit passender allow-IP (*) im Unterordner (/testvs bzw. /testmg) liegt, kommt

Forbidden
You don't have permission to access /testvs/index.htm on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request

Kommt das, weil der Aufruf der Unterseite jetzt nicht mehr direkt durch die Inkludierung sondern über header eine Verlinkung stattfindet? Sie ist ja eigentlich nicht extern, sondern nur ein Unterordner.

(*)
Bei meinem Hoster steht für diese Domain eine andere IP, als das mitgelieferte $ServerAdr.php ausgibt. Habe beide getestet, kein Erfolg

[...] sobald die .htaccess-Datei mit passender allow-IP (*) im Unterordner (/testvs bzw. /testmg) liegt, [...]

Die .htaccess sollte eine Ebene höher liegen...

Das Problem könnte auch damit zusammenhängen, dass Dein Webserver die vollständige URL benötigt, um korrekt weiterleiten zu können. Der "additionally" gemeldete 404 Error deutet darauf hin.
Probier's mal mit "header("location: http://www.deinedomain/xxxx/testvs/index.htm");" in der PHP Steuerdatei.

[...] Bei meinem Hoster steht für diese Domain eine andere IP, als das mitgelieferte $ServerAdr.php ausgibt [...]

Die PHP Datei liefert AFAIK immer die korrekte IP. Zumindest habe ich bisher nichts Gegenteiliges bemerkt. 😎

Viel Erfolg

So. Habe jetzt mal vorsichtshalber komplett neue Pfade angelegt, weil mein Freund vorhin an den Ordner-Rechten im 1&1-Controll-Center rumhantiert hat. Hat leider nichts gebracht

root der Homepage: hier liegen auch die Scripte "login.php", "mg.php" für Mitgliedslogin, "vs.php" für Vorstandslogin
Unterpfad /pw: hier liegt die ".htaccess", "logout.php" und jeweils die Pfade zur Vorstands- und Mitgliedsseite, also /vs und /mg
header ist jeweils die komplette URL eingetragen
"header("location: http://www.meinedomain.de/pw/vs/index.htm");" für Vorstand
"header("location: http://www.meinedomain.de/pw/mg/index.htm");" für Mitglied

Was mich eben wundert, es geht ja alles solange keine .htaccess im Pfad "pw" liegt.

Hallo r.-laue,
darf ich als alter 1und1-Kunde mal kurz in den Ring werfen:

Man hat bei diesem Provider die Möglichkeit "geschützte Verzeichnisse" anzulegen. Diese werden als .htaccess in den jeweiligen Ordnern abgelegt und sind aufgrund der ihnen zugeteilten Rechte erst mal nicht zu löschen.
Grundsätzlich gilt eine .htaccess so lange, auch für die dem Root untergeordneten Verzeichnisse, bis ein Verzeichnis/Ordner darunter eine neue .htaccess erhält. - Aber: die htaccess von 1und1 (geschütztes Verzeichnis) ist nicht durch nachstehende .htaccess-Dateien zu entkräften.
Vielleicht hilft dir das bei einer Fehlersuche / Installation.
Ich würde also mal gucken, ob es in irgendeinem Verzeichnis über dem problematischen Ordner eine .htaccess gibt, die dir hier in die Quere kommt.

Evtl. wäre es sowieso eine Idee, den Passwortschutz über 1und 1 einzurichten? Das hat u.U. auch Nachteile; zB kannst du dann in diesem so geschützten Verzeichnis und seinen Unterordnern eben keine eigenen Headeranweisungen mehr unterbringen. Gruß Marboe

Hallo
Sorry, dass ich mich lange nicht hierzu gemeldet habe. Nach langer Pause habe ich mal wieder etwas weiter am Passwortzugang-Projekt gebastelt.

@marboe
Was ich so schön an diesem Script finde ist, dass ich je nach verwendetem Passwort direkt auf die richtige Website weitergeleitet werde. Wenn ich das über 1&1 "geschütztes Verzeichnis" mache, sehen die HP-Besucher ja zwei Links (z.B. ->Mitgliedsbereich und ->Vorstandsbereich)

--
Sämtliche 1&1 "geschützte Verzeichnisse" sind gelöscht und es existieren auch keine weiteren .htaccess-Dateien in meinen gesamten Verzeichnissen.
Hier mein Verzeichnissbaum:
/ #root
/MyHP #hier liegt die öffentliche Vereins-Website und das Passwort-Script
/MyHP/pw #hier liegt die .htaccess
/MyHP/pw/vs #hier liegt die Extra-Website für den Vorstand-Zugriff
/MyHP/pw/mg #hier liegt die Extra-Website für den Mitglied-Zugriff

Mir ist jetzt beim Testen folgendes aufgefallen.
Wie ich oben schon mal erwähnt hatte (https://www.magix.info/de/forum/passwort-schutz-mit-echter-logout-funktion-geht-das--1099152/#ca1291778), zeigt mir das Script eine andere IP an, als 1&1 im CC (Script 212.227.109-Bereich und 1&1 217.160.0-Bereich)
Ich habe es mit beiden versucht, keine Chance. Es kommt immer "403 Forbidden"
ABER sobald ich den Eintrag "Deny from all" in der .htaccess entferne, geht es. Leider komme ich so per Direktlinkeingabe (z.B. www.MyHP.de/pw/vs/) ohne Passwortabfrage direkt auf die Seite, was ja bestimmt nicht Sinn der Sache ist. Sonst könnte ja jeder, der die genaue Zeichenfolge des Links kennt, einfach so drauf 😉

Wenn ich das jetzt richtig deute, passt da irgendwas mit dem Allow-Adressbereich nicht. Sobald ich etwas verweigere (deny), kann er über die Ausnahme (allow) trotzdem nicht zugreifen. Aber sobald kein deny vorhanden ist, kann er auch - egal was erlaubt ist - von überall zugreifen.

Kann das mit dem Parallelbetrieb von IPv4 und IPv6 bei 1&1 zu tun haben?

Ich hoffe, ich habe mich verständlich ausgedrückt 😅
Gruß

[...] Kann das mit dem Parallelbetrieb von IPv4 und IPv6 bei 1&1 zu tun haben? [...]

Da die beschriebene Login/Logout Funktion bei verschiedenen Providern funktioniert, liegt tatsächlich der Verdacht nahe, dass 1&1 etwas "Spezielles" eingerichtet hat...

Am besten wendest Du Dich mal direkt an den 1&1 Support. Mit ein bisschen Glück lässt sich das Problem dann ohne große Experimentiererei lösen...

Danke für die Antwort. Da werde ich wohl nicht drumrum kommen. Hoffe, die stellen mir nicht zu spezielle Fragen, auf die ich keine Antworten kenne 😓

Was mir heute morgen beim Frühstücken noch durch den Kopf geschossen ist...
Wenn ich das Passwort-Script 1:1 übernehme (noch original mit der Hochzeitsseite) und in der dortigen .htaccess die IP (die, die vom Script ausgelesen wird) eintrage, geht es ja 100%ig. Ich komme auch nicht durch Eingabe des Direktlinks auf die geschützten Seiten.

Bei mir ist also der einzige unterschied die "Header"-Anweisung, anstatt "Include". Wird diese evtl. nicht mehr von der HP-IP ausgeführt, sondern woanders, so dass nach Ausführung eben nicht mehr die Allow-IP greift?