Komplette Website nur für Mitglieder sichtbar?

**thymian** · 29.11.2021, 23:22

Hallo zusammen,

beim Grübeln über Mitglieder und Benutzer haben sich meine Hirnwindungen verknotet. Deshalb die Frage, was Euer Ansatz wäre, wenn

eine komplette Website nur für Mitglieder sichtbar sein soll (ca. 100 wechselnde)
diese Mitglieder nicht einzeln registriert werden sollen, sondern nur als Gruppe
Benutzer diese Website editieren können sollen (ca. 7)

Würdet Ihr ein Login-Formular vorschalten? Würdet Ihr dieses gesondert absichern?

Danke für Tipps!

**mlweb** · 30.11.2021, 00:14

Login-Formular brauchst Du ja, damit sich die Mitglieder, die sich die Seite anschauen dürfen, einloggen können.
Hatte vor kurzem ähnliche Anforderungen. Habe für den Frontendlogin eine Mitgliedergruppe mit einem Mitglied angelegt.
Fürs die Anpassungen ganz normale Rechtevergabe übers Backend mit Benutzergruppen und Benutzern. Frontendedititing war in meinem Fall nicht gefordert bzw. gewünscht.

**thymian** · 01.12.2021, 11:51

Vielen Dank, mlweb, für deine Antwort.

Das heißt aber, dass sich alle Mitglieder mit denselben Login-Daten anmelden würden? Zwei Faktor ist da wahrscheinlich nicht möglich?

Und wie ist das mit Download-Dateien? Könnten die dann mit einem Direktlink trotzdem abgerufen werden?

Vielen Dank, wenn Du oder jemand anders da Licht hineinbringt. Ich hatte diese Anforderungen bisher noch nicht.

**Spooky** · 01.12.2021, 12:18

Zitat von thymian

Das heißt aber, dass sich alle Mitglieder mit denselben Login-Daten anmelden würden? Zwei Faktor ist da wahrscheinlich nicht möglich?

Nein, warum? Einfache separate Logins für alle Mitglieder.

Zitat von thymian

Und wie ist das mit Download-Dateien? Könnten die dann mit einem Direktlink trotzdem abgerufen werden?

Das ginge mit https://extensions.contao.org/?q=fil...ao-file-access

**mlweb** · 01.12.2021, 12:22

Zitat von thymian

Das heißt aber, dass sich alle Mitglieder mit denselben Login-Daten anmelden würden? Zwei Faktor ist da wahrscheinlich nicht möglich?

Ja alle Mitglieder melden sich mit dem gleichen Login an. Für 2FA brauchst Du persönliche Anmeldungen (über Mitglieder in Contao). Möglich denke ich ist auch eine Anmeldung von einem anderen System aus und Verifizierung über API. Da kenne ich mich aber nicht aus.
In meinem Fall ging es um einen völlig unkritischen Bereich, der thematisch Dinge beinhaltet, die nur für "interne" Nutzer interessant sind. Eine Sichtbarkeit für jedermann wäre vollkommen unkritisch, aber eben auch überflüssig. Damit braucht es keinerlei "echten" Schutz.

Zitat von thymian

Und wie ist das mit Download-Dateien? Könnten die dann mit einem Direktlink trotzdem abgerufen werden?

Das ist ein anderes Thema. Das ist unabhängig davon, ob es ein oder mehrere Mitglieder gibt. Wenn Du auch den direkt-Download schützen willst/musst, da gibt es eine Erweiterung von @Spooky fritzmg/contao-file-access

**mlweb** · 01.12.2021, 12:26

Zitat von Spooky

Nein, warum? Einfache separate Logins für alle Mitglieder.

Alle Mitglieder registrieren wollte er ja gerade nicht, wenn ich das im ersten Beitrag richtig gelesen habe.

Zitat von Spooky

Das ginge mit https://extensions.contao.org/?q=fil...ao-file-access

@Spooky Während ich noch nach dem Namen der Erweiterung suche, hast Du schon mal wieder geantwortet

.

**Spooky** · 01.12.2021, 12:28

Achso, die Anforderung "diese Mitglieder nicht einzeln registriert werden sollen, sondern nur als Gruppe" habe ich nicht ganz verstanden.

**thymian** · 01.12.2021, 12:36

Ah, danke an Euch beide!

Ja, es ist noch offen, ob alle einzeln registriert werden sollen. Wohl eher nicht.

Mit den Download-Dateien meinte ich, dass nicht Externe einfach über einen "deep link" trotzdem da dran kommen. Aber dann ist ja diese Erweiterung offenbar genau die richtige. Der Ordner in /files ist dann aber auf öffentlich, oder?

**Spooky** · 01.12.2021, 12:38

Genau. Die Ordner kannst du auf nicht öffentlich stellen, dadurch können nur mehr eingeloggte Mitglieder darauf zugreifen, wenn du die Freigabe entsprechend setzt.

**thymian** · 01.12.2021, 12:42

So, jetzt weiß ich auch wieder, was der Knoten war:

Wenn ich Seiten (in meinem Fall die ganze Website) für bestimmte Mitglieder erst nach dem Login anzeige, dann sind diese Seiten ja auch für die Benutzer nicht sichtbar, die sie aber bearbeiten müssen. Müssen die Benutzer dann auch nochmal extra in eine Mitgliedergruppe eingeordnet werden?

**thymian** · 03.12.2021, 13:00

Ok, dafür gibt es die Frontend-Vorschau als Mitglied – entweder direkt aus der Mitgliederliste im Backend als Link oder in der schon geöffneten Frontend-Vorschau und Wechsel der Rolle oben in der Preview-Leiste. Aber das ist nicht so ganz komfortabel, wenn man als Admin oder User gerade an einer Seite arbeitet. Diskussion wurde hier angestoßen: https://community.contao.org/de/show...halte-erhalten.

Meine ursprüngliche Frage: Wie würdet Ihr eine komplette Site schützen? Meine Idee aktuell: Login gleich auf die Startseite setzen und dann weiterleiten. Alles, was unter der Startseite liegt, für Mitglieder schützen. Würde das so funktionieren? Oder wäre es sicherer, das Login sogar auf eine andere Domain zu stellen? Aber dann müsste da auch ein Contao drauf.

**Spooky** · 03.12.2021, 13:15

Du kannst auch einen ganzen Startpunkt schützen lassen. Alles was du brauchst in ein Login Modul (ohne eingestellter Weiterleitung) und eine 401 Seite, wo du das Login Modul integrierst.

**thymian** · 03.12.2021, 19:03

Danke, das klingt gut, probiere ich aus ;-).

**thymian** · 11.12.2021, 09:52

Der zuständige ITler des Kunden will – neben der .htaccess-Sicherung – die Seite jetzt nur noch über IP erreichbar machen, damit sie nicht gleich anhand ihres URL identifiziert werden kann.

Ich dachte eher, dass man normalerweise die IP verbirgt? Bin ich da falsch informiert?

Da die Inhalte hier nicht ganz so unkritisch sind wie bei mlweb, möchte ich keinen gemeinsamen Contao-Frontend-Zugang für mehrere hundert, ständig wechselnde Leute mit demselben User/Passwort (sprechende Wörter sind gewünscht

) erstellen.

**Spooky** · 11.12.2021, 09:58

Jeder Nutzer sollte seinen Account haben. Dann können auch einzelne Accounts deaktiviert werden.

**thymian** · 11.12.2021, 10:06

Sehe ich auch so. Aber für den Kunden ist es wohl unpraktikabel, er betreibt noch ein anderes, sicherheitsrelevanteres (internes) Portal, wo sich auch schon alle mit 2FA anmelden.

**mlweb** · 11.12.2021, 11:40

Man kann nicht beides haben hohe Sicherheit und absolute Bequemlichkeit

.

**zonky** · 11.12.2021, 12:44

wie wäre es mit einem Rechner und lokalem Webserver - darauf Contao...

alles ohne Login nur für Mitglieder/Mitarbeiter - ganz bequem!

Den Rechner dann ohne Internetanschluß in einen gesicherten Raum stellen in den nur die Mitglieder physischen Zugang haben.

Alles easy! ;-)

**thymian** · 11.12.2021, 17:58

Danke für Eure Antworten!

@zonky: Die Seite muss leider von überall erreichbar sein, quasi bundesweit.

Könnt Ihr was zu der IP-Geschichte sagen? Den Hackern oder Bots ist es doch egal, ob die Seite einen sprechenden Namen hat oder eine Nummer, oder sehe ich das falsch? Ok, die üblichen Versuche à la xyz.de/admin.php wie bei Wordpress klappen dann erstmal nicht.

Edit: Ich habe den Verdacht, zonky hat es nicht ganz ernst gemeint ;-)