Passwörter sollen nicht gecached werden (apache)

[mamue]

Um für einen pool von PC den Internetzugang "freizuschalten" verwende ich ein paar scripte, die per php von einer Passwortgeschützten Seite aufgerufen werden.
Dazu habe ich einen virtuellen Webserver:
<VirtualHost 172.18.0.2>
ServerName inet.bbs1-emden.schule
AccessFileName .htaccess
DocumentRoot /usr/local/httpd/i-net
<Directory />
AllowOverride All
</Directory>
</VirtualHost>

Leider kann der user den Browser so einstellen, dass die Passwörter im cache bleiben. Damit haben unter Umständen nicht authorisierte Personen das Passwort.
Kann man das verhindern, etwa indem man das cachen für diesen virtuellen Webserver abstellt?
Sonst müsste ich womöglich eigens dafür ein Applet oder ein JavaScript schreiben.

Danke,
mamue

[dipesh]

Es wäre doch schlimm, wenn man serverseitig bestimmen könnte wie sich Clients zu verhalten haben. Das ganze ist aber sicherlich bald, dank Palladium, möglich. Bis dahin bleibt dir wohl nur entweder alle Clients entspr. einzustellen oder einen anderen Weg als über htaccess zu gehen.

[Bauchi]

du solltest die passwörter innerhalb der php scripte abfragen und nicht per HTTP Authentication ... es gibt ein flag innerhalb der <form> und <input> elemente die dafür sorgen, dass eine auto-vervollständigung nicht zulässig ist .

Code:

Beispiel:<form autocomplete="off" name="xyz" action="meinscript" method="post" >

was du sonst noch machen könntest ist, dass nach jedem aufruf der scripten den browser automatisch schliesst ..

[mamue]

@dipesh
Sicher, da ist etwas dran.
Aber was soll ich tun? Soll ich den Leuten sagen, dass sie sich jedesmal erst selber anmelden müssen? Das wird nun mal nicht gemacht.

@Bauchi
Das mit dem PHP script werde ich mir erst einmal anschauen, danke.

mamue

[dipesh]

Der Vorschlag von Bauchi ist wohl der einfachste Weg das gewünschte umzusetzen. Allerdings sollte man auch hier nicht auf das Attribut im Formtag vertrauen, da dieses da wieder Clientseitig ausgewertet wird. Hier könnte man ganz einfach die vom PHP-Script generierten Felder (name und passwort) automatisiert zu bestimmten Intervalen oder auch bei jedem Zugriff umbenennen (z.B. durch ranhängen einer Zufallszahl). Das stellt natürlich noch immer keine Garantie dar, dürfte Personen die sich umbedingt eine automatisierte Anmeldung basteln wollen den Umsetzungsweg zusätzlich erschweren ;-) Es kommt im Endeffekt darauf an, für wie "böswillig" du die Clientbenutzer hälst :-)

[mamue]

Naja, generell sind sie böswillig, aber zum grössten Teil nicht so fit.
Ausserdem wäre der Schaden nicht allzu groß - der Internetzugang könnte freigeschaltet werden für maximal 200min...

Danke,
mamue