Kontrollierter Zugang zu Webdokumenten: Authentifizierung und Autorisierung

Webautoren möchten im Allgemeinen, dass ihre Dokumente auch gelesen werden. Deswegen lautet die Standard-Zugriffsregel: „Webdokumente sind von überall und durch jedermann lesbar“. Nun gibt es aber auch Inhalte, die nur einer bestimmten Leserschaft zugänglich sein sollen.

Dazu muss sich die Person authentisieren (Nachweis der Identität, momentan häufig durch Abfrage eines Geheimnisses: Eingabe einer Kennung und des dazugehörigen Passwortes). Der Webserver prüft die Eingaben (Authentifizierung). Nach der Feststellung der Identität legt der Webserver die Rechte der Person nach Ihren Vorgaben fest (Autorisierung): Zugriff erlauben oder abweisen.

Dieses Vorgehen kann ein Webautor bestimmen. Dazu schreibt er Anweisungen in eine Datei .htaccess. Diese Anweisungen gelten üblicherweise für alle Dateien in diesem Verzeichnis und allen Unterverzeichnissen (einfache Regel: schützenswerte Dateien in ein eigenes Verzeichnis). Siehe auch: Schutz einzelner Dateien.

Folgende Möglichkeiten der Zugangskontrolle sind nutzbar:

1. Zugriff mit Abfrage von Kennung und Passwort
   • Empfohlen: Über das Web-Trust-Center der TU Chemnitz
   • Kennung / Passwort frei gewählt
2. Zugriff nur von bestimmten Rechnern erlauben (nicht empfohlen)

Für sensible Daten sollte ein speziell gesicherter Webserver betrieben werden, z.B. über unseren Virtuelle-Private-Server-Hosting-Dienst. Sehr sensible Daten sollten möglichst zusätzlich geeignet verschlüsselt werden!

Neben der Zugriffskontrolle via Web muss auch an den Zugriffsschutz im Dateisystem gedacht werden.