"index.php?option=com_users&view=login" Direkten Aufruf verhindern, bzw. umleiten. Frage an PHPler, Entwickler

ChristianausKempten · 2. März 2019

Hallo zusammen,

man kann ja die Login-Seite durch direkten Aufruf, z.B. "www.example.org/index.php?option=com_users&view=login" auch ohne Menüpunkt erreichen.

Da ich das nicht möchte, habe ich mir überlegt in die index.php von meinem Template folgende Code-Zeile einzufügen, der eine Umleitung generiert:

Beispiel:

if($_SERVER['REQUEST_URI'] == "www.example.org/index.php?option=com_users&view=login")

{

header("location: http://www.example.org /index.php");

// oder ein exit benutzen?

// exit;

}

Ich wollte das "$_SERVER['REQUEST_URI']" noch mit "htmlspecialchars" ausgeben, aber dann funktioniert das nicht mehr.

Was haltet Ihr davon? Gute Lösung oder Humbug?

Gruß
Christian

JoomlaWunder · 2. März 2019

Setze doch einfach eine entsprechende 301-Weiterleitung in die .htaccess im Joomla-Root!

j!-n · 2. März 2019

Mit einem Template-Override von com_user geht es auch.

firstlady · 2. März 2019

Völlig Joomla-conform und ohne Gewürge wäre die Verwendung eines overrides von com_user, view login um eine Weiterleitung zu erzwingen.

Änderungen in der .htaccess werden leicht vergessen, und in der index.php herumzumachen ist keine saubere Lösung.

zu langsam

JohannesK · 2. März 2019

Lösungsideen hast du ja jetzt genug. Meine Frage wäre erstmal warum möchtest du das nicht? Weil, wenn du einen Login erlaubst kann dir ja theoretisch egal sein über welchen Aufruf der User dort hin kommt oder?

ChristianausKempten · 3. März 2019

Hallo und vielen Dank für die vielen Lösungsvorschläge!

Einen Override anzulegen oder es mit der htaccess zu versuchen sind sehr gute Ideen. An die Möglichkeiten habe ich gar nicht gedacht.

Das teste ich gleich mal.

Warum das ganze?
Nun, ich schütze den Admin-Zugang mit dem tollen Plugin von Viktor Vogel mit einem Token.

Mein Gedanke ist hier, den "Frontend Login" genauso nur über einen geheimen Link erreichbar zu machen.

Einmal, um nur Person X den Login anzuzeigen und um eventuelle Login-Angriffe abzuwehren, die wohl auch über den Standardaufruf erfolgen könnten, wie ich auf Joomla-Security.de gelesen habe.

Schönen Sonntag noch!

Gruß Christian

JohannesK · 3. März 2019

Zitat von ChristianausKempten

Warum das ganze?
Nun, ich schütze den Admin-Zugang mit dem tollen Plugin von Viktor Vogel mit einem Token.

Mein Gedanke ist hier, den "Frontend Login" genauso nur über einen geheimen Link erreichbar zu machen.

Einmal, um nur Person X den Login anzuzeigen und um eventuelle Login-Angriffe abzuwehren, die wohl auch über den Standardaufruf erfolgen könnten, wie ich auf Joomla-Security.de gelesen habe.

Nutzt du denn den Frontend Login? Sonst könntest ihn ja auch deaktivieren. Nur darauf wollte ich hinaus.

JoomlaWunder · 3. März 2019

Zitat von JohannesK

Nutzt du denn den Frontend Login? Sonst könntest ihn ja auch deaktivieren. Nur darauf wollte ich hinaus.

Und das machst du wie?

BTW: Eventuell auch hilfreich, was den geheimen Menüpunkt angeht: Joomla Frontend-Login abschalten!

(Thema bis nach unten durchlesen!)

JohannesK · 3. März 2019

Zitat von JoomlaWunder

Und das machst du wie?

BTW: Eventuell auch hilfreich, was den geheimen Menüpunkt angeht: Joomla Frontend-Login abschalten!

(Thema bis nach unten durchlesen!)

Ach hast recht - ich war gerade bei BBenutzerregestrierung! Sorry! Ziehe meinen Einwand zurück

ChristianausKempten · 6. März 2019

Zitat von JoomlaWunder

Und das machst du wie?

BTW: Eventuell auch hilfreich, was den geheimen Menüpunkt angeht: Joomla Frontend-Login abschalten!

(Thema bis nach unten durchlesen!)

Das ist auch gut. Danke dir!

Zitat von JohannesK

Nutzt du denn den Frontend Login? Sonst könntest ihn ja auch deaktivieren. Nur darauf wollte ich hinaus.

Ja. Ich mache gerade eine Seite für nen Spezl.
Das Projekt ist schon online, aber die "Öffentlichkeit" sieht im Moment nur die Startseite und das Impressumgedöns.

Mein Kumpel kann sich einloggen und den Fortschritt ansehen, wie weit ich schon bin mit "bauen".

JoomlaWunder · 6. März 2019

Zitat von ChristianausKempten

Das Projekt ist schon online, aber die "Öffentlichkeit" sieht im Moment nur die Startseite und das Impressumgedöns.

Mein Kumpel kann sich einloggen und den Fortschritt ansehen, wie weit ich schon bin mit "bauen".

Das klingt so, als wolltest du lediglich die Webseite verstecken bis sie fertig ist, also ähnlich dem "Offline schalten".

Dann könntest du sie auch einfach mittels Passwortschutz über die .htaccess im Joomla-Root verstecken. Funktioniert im Prinzip wie der zusätzliche Passwortschutz des administrator-Verzeichnisses.

Dann blockt bereits der Server und die ganze Joomla-Login-Problematik würde gar nicht bestehen. Auch würden die SuchBots hier noch nichts finden.

ChristianausKempten · 6. März 2019

Zitat von JoomlaWunder

Das klingt so, als wolltest du lediglich die Webseite verstecken bis sie fertig ist, also ähnlich dem "Offline schalten".

Dann könntest du sie auch einfach mittels Passwortschutz über die .htaccess im Joomla-Root verstecken. Funktioniert im Prinzip wie der zusätzliche Passwortschutz des administrator-Verzeichnisses.

Dann blockt bereits der Server und die ganze Joomla-Login-Problematik würde gar nicht bestehen. Auch würden die SuchBots hier noch nichts finden.

Ja, das wäre eine Möglichkeit, aber er will trotzdem schon ein paar BIlder zeigen und nen kleinen Textbereich.

Ich hab alle Seiten und die Verlinkungen der Robots auf nofollow, noindex gesetzt. Gockl und Co. werden sich schon daran halten?!