Zugriff nur mit URL-Parameter

bibeg

Hallo zusammen,

ich würde den Joomla-Zugriff gerne nur mit einem URL-Token erlauben.

Es geht um eine Intranet-Seite, die nur ausgewählten Besuchern zugänglich sein soll. Eine Passwortabfrage würde ich den Kollegen nach Möglichkeit somit gerne ersparen wollen.

Reicht es, den folgenden Code zu Beginn der root-index.php einzufügen um so auch jede Unterseite abzufangen?

Spoiler anzeigen

PHP: index.php

<?php

// Abfrage GET-Perameter
$hash = isset($_GET['id']) ? $_GET['id'] : '';
$hash = filter_var($hash, FILTER_SANITIZE_STRING);
if ($hash !== "testid") {
    die();
}

/**
 * @package    Joomla.Site
 *
 * @copyright  (C) 2005 Open Source Matters, Inc. <https://www.joomla.org>
 * @license    GNU General Public License version 2 or later; see LICENSE.txt
 */

// NOTE: This file should remain compatible with PHP 5.2 to allow us to run our PHP minimum check and show a friendly error message

// Define the application's minimum supported PHP version as a constant so it can be referenced within the application.
define('JOOMLA_MINIMUM_PHP', '7.2.5');

if (version_compare(PHP_VERSION, JOOMLA_MINIMUM_PHP, '<')) {
    die(
        str_replace(
            '{{phpversion}}',
            JOOMLA_MINIMUM_PHP,
            file_get_contents(dirname(__FILE__) . '/templates/system/incompatible.html')
        )
    );
}

/**
 * Constant that is checked in included files to prevent direct access.
 * define() is used rather than "const" to not error for PHP 5.2 and lower
 */
define('_JEXEC', 1);

// Run the application - All executable code should be triggered through this file
require_once dirname(__FILE__) . '/includes/app.php';

Alles anzeigen

Über einen Tipp würde ich mich sehr freuen.

Vielen Dank und viele Grüße

bibeg

JoomlaWunder

Es gab zumindest mal die Möglichkeit, die Zugangsdaten an die URL zu hängen. Weiß nicht, ob das noch geht. Aus Sicherheitsgründen kann ich aber nur davon abraten. Vielleicht kommt aber auch sowas hier für dich in Frage:

Sicher Online anmelden – ganz ohne Passwort!

Für Joomla und WordPress können Sie sich nun ohne Passwort anmelden – und das sicher und unkompliziert! Was ist neu? Ein neues Zeitalter hat im Internet

www.rk-mediawork.de

bibeg

Hallo JoomlaWunder: Vielen Dank für deine Antwort!

Leider ist der Eingriff in Software oder Hardware der Firmen-PC's nicht möglich. Wir arbeiten mit sehr abgespeckten Thin-Clients und virtualisierten Desktops.

Bisher war das Intranet frei im www zugänglich. Wir haben mit dem bisherigen VM-Anbieter alle die gleiche feste IP-Adresse und nur diese war per .htaccess freigeschaltet.

Nun steigen wir aber auf einen anderen VM-Anbieter um und nutzen in Zukunft verschiedene, wechselnde IP-Adressen, weshalb die bisherige Methode nicht mehr funktioniert.

Mir ist absolut bewusst, dass ich mit der Authentifizierung via URL-Parameter das Sicherheitsniveau herabsetzt, aber das wäre die einzige Möglichkeit den Kollegen eine weitere Passwortabfrage zu ersparen.

In unserem Intranet sind mit Ausnahme der Mitarbeiternamen keine personenbezogenen Daten hinterlegt. Es gibt dort u.a. die Möglichkeit mit Visforms z.B. Büromaterial zu bestellen, den Hausmeister zu beauftragen oder den aktuellen Speiseplan einzusehen.

Viele Grüße

bibeg

Elwood

Token-Abfrage geht auch hiermit.

Erweiterung vom Forumsmitglied Kubik-Rubik :

ECC+ - EasyCalcCheck Plus - Kubik-Rubik Joomla! Erweiterungen

EasyCalcCheck Plus - Schützt Joomla! Formulare und 3rd Party Erweiterungen vor Spambots. Kein Spam mehr in Joomla! - Typ: System-Plugin - Lizenz: GPLv3

kubik-rubik.de

Re:Later

Es hängt schlicht davon ab in Post #1, wen du abhalten willst. Der Token muss ja auch von irgendwem/irgendwas vergeben werden, bekannt sein.

Und natürlich schützt das nicht vor Abrufen von sonstigen Dateien wie Bilder, PDF und Kram. Aber das würde eine ähnliche "Sperre" in Joomla selbst auch nicht unbedingt schaffen.

Zitat von Elwood

Token-Abfrage geht auch hiermit.

Aber nur für Backend.

winterman

Die Token-Funktion von ECC ist doch nur für das Backend, oder?

Elwood

Zitat von Re:Later

Aber nur für Backend.

Richtig.

Wusste aber nicht, das es für das FE gefordert wurde.

Zitat von winterman

aber die Token-Funktion von ECC ist doch nur für das Backend, oder?

Ja, konnte aber nicht erkennen, das es für das FE gelten soll, sorry.

Oder halt mit einer .htaccess absichern.

Vielleicht habe ich auch alles falsch verstanden.

(Bin auf der Insel und vielleicht ein bisschen durch den Wind )

bibeg

Hallo zusammen,

besten Dank für eure Antworten!

Genau - der Token soll auch für das Frontend gelten.

Das Backend schütze ich wie bisher per .htaccess.

Der entspechende Link wird den Kollegen automatisiert auf dem Desktop abgelegt.

Mir ist natürlich klar, das sie den Link auch weitergeben können - das können Sie ihr Passwort aber auch.

Zitat von Re:Later

Es hängt schlicht davon ab in Post #1, wen du abhalten willst. Der Token muss ja auch von irgendwem/irgendwas vergeben werden, bekannt sein.
Und natürlich schützt das nicht vor Abrufen von sonstigen Dateien wie Bilder, PDF und Kram. Aber das würde eine ähnliche "Sperre" in Joomla selbst auch nicht unbedingt schaffen.

Dateien haben wir bis auf PDF-Speisepläne keine hinterlegt. Diese sind aber weder sonderlich geheim noch interessant.

Viele Grüße

bibeg

bembelimen

Sowas hier wäre möglich, damit kann man auch die komplette Seite mit absperren, wenn der Entry-Point außerhalb der Website liegt oder man explizit den einen Ordner freigibt.

bibeg

Hallo bembelimen: Danke für deinen Tipp!

Ich habe festgestellt, dass die Verwendung von URL-Parametern immer wieder zu Fehlern führt.

Wahrscheinlich muss ich doch für alle Kollegen einen Joomla-Nutzer anlegen.

Ich würde vorher aber gerne noch deinen Tipp versuchen.

Das Verzeichnis mit dem "geheimen Namen" muss ja innerhalb des Joomla-Roots liegen.

Würdest du mir erklären, wie ich diesen Ordner explizit freigebe?

Vielen Dank und viele Grüße

bibeg

Sieger66

Alternativ eventuell nützlich:

Frontendzugang nur über Link