Ergebnis 1 bis 21 von 21

Thema: Komplette Website nur für Mitglieder sichtbar?

  1. #1
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard Komplette Website nur für Mitglieder sichtbar?

    Hallo zusammen,

    beim Grübeln über Mitglieder und Benutzer haben sich meine Hirnwindungen verknotet. Deshalb die Frage, was Euer Ansatz wäre, wenn
    • eine komplette Website nur für Mitglieder sichtbar sein soll (ca. 100 wechselnde)
    • diese Mitglieder nicht einzeln registriert werden sollen, sondern nur als Gruppe
    • Benutzer diese Website editieren können sollen (ca. 7)


    Würdet Ihr ein Login-Formular vorschalten? Würdet Ihr dieses gesondert absichern?

    Danke für Tipps!
    Geändert von thymian (30.11.2021 um 00:25 Uhr)

  2. #2
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    7.080
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Login-Formular brauchst Du ja, damit sich die Mitglieder, die sich die Seite anschauen dürfen, einloggen können.
    Hatte vor kurzem ähnliche Anforderungen. Habe für den Frontendlogin eine Mitgliedergruppe mit einem Mitglied angelegt.
    Fürs die Anpassungen ganz normale Rechtevergabe übers Backend mit Benutzergruppen und Benutzern. Frontendedititing war in meinem Fall nicht gefordert bzw. gewünscht.
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  3. #3
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    Vielen Dank, mlweb, für deine Antwort.

    Das heißt aber, dass sich alle Mitglieder mit denselben Login-Daten anmelden würden? Zwei Faktor ist da wahrscheinlich nicht möglich?

    Und wie ist das mit Download-Dateien? Könnten die dann mit einem Direktlink trotzdem abgerufen werden?

    Vielen Dank, wenn Du oder jemand anders da Licht hineinbringt. Ich hatte diese Anforderungen bisher noch nicht.
    Geändert von thymian (01.12.2021 um 13:08 Uhr)

  4. #4
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von thymian Beitrag anzeigen
    Das heißt aber, dass sich alle Mitglieder mit denselben Login-Daten anmelden würden? Zwei Faktor ist da wahrscheinlich nicht möglich?
    Nein, warum? Einfache separate Logins für alle Mitglieder.



    Zitat Zitat von thymian Beitrag anzeigen
    Und wie ist das mit Download-Dateien? Könnten die dann mit einem Direktlink trotzdem abgerufen werden?
    Das ginge mit https://extensions.contao.org/?q=fil...ao-file-access
    » sponsor me via GitHub or PayPal or Revolut

  5. #5
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    7.080
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von thymian Beitrag anzeigen
    Das heißt aber, dass sich alle Mitglieder mit denselben Login-Daten anmelden würden? Zwei Faktor ist da wahrscheinlich nicht möglich?
    Ja alle Mitglieder melden sich mit dem gleichen Login an. Für 2FA brauchst Du persönliche Anmeldungen (über Mitglieder in Contao). Möglich denke ich ist auch eine Anmeldung von einem anderen System aus und Verifizierung über API. Da kenne ich mich aber nicht aus.
    In meinem Fall ging es um einen völlig unkritischen Bereich, der thematisch Dinge beinhaltet, die nur für "interne" Nutzer interessant sind. Eine Sichtbarkeit für jedermann wäre vollkommen unkritisch, aber eben auch überflüssig. Damit braucht es keinerlei "echten" Schutz.

    Zitat Zitat von thymian Beitrag anzeigen
    Und wie ist das mit Download-Dateien? Könnten die dann mit einem Direktlink trotzdem abgerufen werden?
    Das ist ein anderes Thema. Das ist unabhängig davon, ob es ein oder mehrere Mitglieder gibt. Wenn Du auch den direkt-Download schützen willst/musst, da gibt es eine Erweiterung von @Spooky fritzmg/contao-file-access
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  6. #6
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    7.080
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Nein, warum? Einfache separate Logins für alle Mitglieder.
    Alle Mitglieder registrieren wollte er ja gerade nicht, wenn ich das im ersten Beitrag richtig gelesen habe.



    @Spooky Während ich noch nach dem Namen der Erweiterung suche, hast Du schon mal wieder geantwortet .
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  7. #7
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Achso, die Anforderung "diese Mitglieder nicht einzeln registriert werden sollen, sondern nur als Gruppe" habe ich nicht ganz verstanden.
    » sponsor me via GitHub or PayPal or Revolut

  8. #8
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    Ah, danke an Euch beide!

    Ja, es ist noch offen, ob alle einzeln registriert werden sollen. Wohl eher nicht.

    Mit den Download-Dateien meinte ich, dass nicht Externe einfach über einen "deep link" trotzdem da dran kommen. Aber dann ist ja diese Erweiterung offenbar genau die richtige. Der Ordner in /files ist dann aber auf öffentlich, oder?

  9. #9
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Genau. Die Ordner kannst du auf nicht öffentlich stellen, dadurch können nur mehr eingeloggte Mitglieder darauf zugreifen, wenn du die Freigabe entsprechend setzt.
    » sponsor me via GitHub or PayPal or Revolut

  10. #10
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    So, jetzt weiß ich auch wieder, was der Knoten war:

    Wenn ich Seiten (in meinem Fall die ganze Website) für bestimmte Mitglieder erst nach dem Login anzeige, dann sind diese Seiten ja auch für die Benutzer nicht sichtbar, die sie aber bearbeiten müssen. Müssen die Benutzer dann auch nochmal extra in eine Mitgliedergruppe eingeordnet werden?
    Geändert von thymian (01.12.2021 um 23:29 Uhr)

  11. #11
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    Ok, dafür gibt es die Frontend-Vorschau als Mitglied – entweder direkt aus der Mitgliederliste im Backend als Link oder in der schon geöffneten Frontend-Vorschau und Wechsel der Rolle oben in der Preview-Leiste. Aber das ist nicht so ganz komfortabel, wenn man als Admin oder User gerade an einer Seite arbeitet. Diskussion wurde hier angestoßen: https://community.contao.org/de/show...halte-erhalten.

    Meine ursprüngliche Frage: Wie würdet Ihr eine komplette Site schützen? Meine Idee aktuell: Login gleich auf die Startseite setzen und dann weiterleiten. Alles, was unter der Startseite liegt, für Mitglieder schützen. Würde das so funktionieren? Oder wäre es sicherer, das Login sogar auf eine andere Domain zu stellen? Aber dann müsste da auch ein Contao drauf.

  12. #12
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Du kannst auch einen ganzen Startpunkt schützen lassen. Alles was du brauchst in ein Login Modul (ohne eingestellter Weiterleitung) und eine 401 Seite, wo du das Login Modul integrierst.
    » sponsor me via GitHub or PayPal or Revolut

  13. #13
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    Danke, das klingt gut, probiere ich aus ;-).

  14. #14
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    Der zuständige ITler des Kunden will – neben der .htaccess-Sicherung – die Seite jetzt nur noch über IP erreichbar machen, damit sie nicht gleich anhand ihres URL identifiziert werden kann.

    Ich dachte eher, dass man normalerweise die IP verbirgt? Bin ich da falsch informiert?

    Da die Inhalte hier nicht ganz so unkritisch sind wie bei mlweb, möchte ich keinen gemeinsamen Contao-Frontend-Zugang für mehrere hundert, ständig wechselnde Leute mit demselben User/Passwort (sprechende Wörter sind gewünscht ) erstellen.

  15. #15
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Jeder Nutzer sollte seinen Account haben. Dann können auch einzelne Accounts deaktiviert werden.
    » sponsor me via GitHub or PayPal or Revolut

  16. #16
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    Sehe ich auch so. Aber für den Kunden ist es wohl unpraktikabel, er betreibt noch ein anderes, sicherheitsrelevanteres (internes) Portal, wo sich auch schon alle mit 2FA anmelden.

  17. #17
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    7.080
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Man kann nicht beides haben hohe Sicherheit und absolute Bequemlichkeit .
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  18. #18
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    wie wäre es mit einem Rechner und lokalem Webserver - darauf Contao...

    alles ohne Login nur für Mitglieder/Mitarbeiter - ganz bequem!

    Den Rechner dann ohne Internetanschluß in einen gesicherten Raum stellen in den nur die Mitglieder physischen Zugang haben.

    Alles easy! ;-)

  19. #19
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    Danke für Eure Antworten!

    @zonky: Die Seite muss leider von überall erreichbar sein, quasi bundesweit.

    Könnt Ihr was zu der IP-Geschichte sagen? Den Hackern oder Bots ist es doch egal, ob die Seite einen sprechenden Namen hat oder eine Nummer, oder sehe ich das falsch? Ok, die üblichen Versuche à la xyz.de/admin.php wie bei Wordpress klappen dann erstmal nicht.

    Edit: Ich habe den Verdacht, zonky hat es nicht ganz ernst gemeint ;-)

  20. #20
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    dachte es wäre klar, dass das nicht erst gemeint war... oder?!? ;-)

  21. #21
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    227

    Standard

    Ok, der Kunde sieht es lockerer als ich, vielleicht sollte ich mich entspannen...

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •