Einzelne Doc's im Web per Passwort schützen?

[MarkusH]

Moin, moin,

ich hab da ein Problem.

Ich möchte eine db, die per anonymous=reader im web erreichbar ist so schützen, dass die Zugriffe auf ein Dokument nur mit einer Passwortabfrage gestattet.

Es soll also in der Notesmaske/Dok. ein Feld abgefagt werden. Wenn die Eingabe = Feld ist, dann darf anonymous in diese Dokument.

Bin völlig planlos. Hat jemand eine Idee?

Gruß
Markus

[Glombi]

Da müsstest Du einen WebQueryOpen Agenten basteln.

Was meinst Du denn mit Passwortabfrage? Sind das User, die ein Notes-Passwort haben?

[MarkusH]

Nein, keine Notes User.

Ich will die User auch nicht in die names.nsf oder sonst wo noch eintragen.

Sie sollen nur mit einem Passwort in ein spez. für den WebUser bestimmtes Dokument.

Dort wäre dann eine Datei hinterlegt, die man sich runteladen kann.

Wichtig ist nur, das nicht jeder WebUser in jedes Dokument darf.

[Glombi]

Und wol soll das Passwort abgelegt sein? An irgendeiner Stelle muss da ja überprüft werden. Oder ist es immer ein fest vorgegebenes, welches dann hardcodiert wird?

[MarkusH]

Das soll in einem Feld des Dokuments hinterlegt werden.
Als Beispiel die letzten 6 Stellen der @DocumentUniquieID oder
irgend etwas willkürich eingegebenes.

Das PW und der Link auf das Dokument wird dem WebUser zu gestellt (per Post, ggf per Mail).

[klaussal]

... evt. im "onload"-event ...

[MarkusH]

onload = java-script =    

Wie denn, wo denn, was denn?

Hat jemand mal ein paar Zeilen  

Mit Notesscript/Formeln komme ich da wohl nicht weiter, wie?

[Hernan Cortez]

Also ich würde den irgendwie als Webuser in einem sekundären NAB (oder wie das heutzutage heisst) registrieren.
Schon die konkreten Wege einhalten und da nichts eigenes Basteln. Gerade im Security Bereich niemals, es sei denn ich weiss wirklich, wirklich ganz genau, was ich will und das ist gerade bei Entwicklern wesentlich seltener der Fall als sie zugeben (ich spreche hier u.a. von mir).

Ich rate auch dringend davon ab, irgendwelche wirklich wichtigen Informationen mit client-seitigen Sachen wie JavaScript zu sichern.
Das reicht vielleicht für die Fotos der letzten Orgie auf der Homepage, aber nicht für die reale Welt, v.a. wenn das Leute sind, die mit der Organisation in einer geschäftlichen Beziehung stehen.
 
Irgendwann 2000 gab es in Notes.net eine Beispieldatenbank + Artikel, wie die auf notes.net die Webregistrierung realisiert haben. Ich würd die normalen Domino-Wege einhalten und darauf aufbauend etwas eigenes erstellen. Viel code behandelt dort Cluster-Spezifika. Das kannst du rausnehmen und dabei verstehst du diese Datenbank (ziemlich verstreut, wenn ich mich recht erninnere).

Notes-Authentifizierung bietet dir so viele Zusatzfeatures wie z.B. du kannst Aktionen des users sehr einfach loggen, etc. Zur Rechteänderung muss nicht der Entwickler kommen, sondern das kann der admin mit Bordmitteln.

Zusatztools gegen brute force attacks, etc.

Gruß Axel

[MarkusH]

Hallo,

gerade auf ein 2. NAB will ich verzichten. Ich habe keine Lust über 700 WebUser / Kunden einzutragen, wo dann im Endeffekt vielleicht nur 100 Kunden den Zugang nutzen.

Es soll halt so laufen, das die Kunden einen Link gemailt bekommen (server/db/ansicht/docid?opendocument) und dann ein ihnen vorher bekannt gegebenes Passwort eingeben.

Diese Passwort soll in jeden Dokument in einem (verschlüsselten) Feld stehen. Für jeden Datensatz individuell. Da in jedem Datensatz auch individuelles für den Kunden bestimmtes PDF-File angehängt ist.

Mir geht es nur darum, das ich vor dem Öffen (onload?) eine Abfrage (ähnlich @prompt([ ]...) einbaue und das mit dem "versteckten" PW vergleiche.

Noch jemand 'ne Idee?

Gruß
Markus

[Thomas Schulte]

Falscher Ansatz, Du baust wenn du einen Onetime Zugang für deinen Kunden schaffen willst eine einzige Maske in der er seinen Namen/Kennung und das übermittelte Passwort eingeben soll. Dann nimmst du diese Daten in einen WebQuerySave Agent  für dieses Dokument und suchst nach dem entsprechenden Kundendokument. Findet er eines kriegt er das auf den Schirm. Findet er nichts oder ist irgendeine andere Fehlerbedingung erfüllt, bekommt er eine Fehlermeldung.