Limitare accesso per ambiente di sviluppo

[teo]

Mi piacerebbe fare in modo di fornire un link a un cliente per un sito in fase di sviluppo, ma che non sia accessibile dagli altri.
Senza scomodare una VPN, e non convincendomi la funzione "Web protect" di cPanel, avevo pensato a un sistema simile: il sito in fase di sviluppo è un sottodominio dev.sito.ext; mando un link con password al cliente e al primo accesso compare una pagina (mi piacerebbe fosse personalizzata) dove inserire la password.
Senza scomodare sessioni (giusto per non avere complicazioni in fase di debugging), il sistema potrebbe memorizzare l’IP del cliente (e suoi collaboratori) e dargli l’accesso per X tempo.
La protezione potrebbe essere attivata e disattivata velocemente da .htacess così:

Codice:

DirectoryIndex protezione.php index.html index.php

Cosa ne pensate?

[GrG]

si ma, se tu lavori su protezione.php per dare l'accesso, io richiamo direttamente la index e entro senza problemi se non vuoi modificarne il codice per sessioni.

perchè non un normale htaccess con password?

[teo]

si ma, se tu lavori su protezione.php per dare l'accesso, io richiamo direttamente la index e entro senza problemi se non vuoi modificarne il codice per sessioni.

In effetti…

perchè non un normale htaccess con password?

Credo faccia questo "Web protect" di cPanel. Ma preferivo semplificare leggermente le cose al cliente facendogli immettere solo la password senza username.
Si possono fornire i dati di accesso per la protezione via .htaccess da una pagina custom o personalizzare la dialog box? In quel caso metterei il nome utente nascosto e farei compilare solo la password.

[GrG]

Hai moduli aggiuntivi di apache per l'autenticazione ma non sono sempre disponibili sugli shared se lo stai usando e io personalmente non li ho mai usati ne ho letto i readme.

Scusa, secondo me a meno che il cliente non sia proprio una capra se gli dai user e pass uguali, sei a posto.

[teo]

Scusa, secondo me a meno che il cliente non sia proprio una capra se gli dai user e pass uguali, sei a posto.

Hai ragione, ma visto che punto molto sull’usabilità dei siti, credo sia fondamentale che sia io il primo a fargli vivere un’esperienza corretta. Predilo come un mio biglietto da visita.

[Uno]

Mi piacerebbe fare in modo di fornire un link a un cliente per un sito in fase di sviluppo, ma che non sia accessibile dagli altri.
Senza scomodare una VPN, e non convincendomi la funzione "Web protect" di cPanel, avevo pensato a un sistema simile: il sito in fase di sviluppo è un sottodominio dev.sito.ext; mando un link con password al cliente e al primo accesso compare una pagina (mi piacerebbe fosse personalizzata) dove inserire la password.
Senza scomodare sessioni (giusto per non avere complicazioni in fase di debugging), il sistema potrebbe memorizzare l’IP del cliente (e suoi collaboratori) e dargli l’accesso per X tempo.
La protezione potrebbe essere attivata e disattivata velocemente da .htacess così:

Codice:

DirectoryIndex protezione.php index.html index.php

Cosa ne pensate?

si ma, se tu lavori su protezione.php per dare l'accesso, io richiamo direttamente la index e entro senza problemi se non vuoi modificarne il codice per sessioni.

perchè non un normale htaccess con password?

Con SetHandler si dovrebbe poter costringere a passare sempre per un determinato file, non ho testato.

[WizOfOz]

ho letto velocemente.... quini potrei dire una "corbelleria"

ma se sposti quel sito su un'altra porta e poi apri quella porta solo per l'ip del tuo cliente?

[GrG]

Ripeto, starei sul semplice. Dagli l'url completa e sei a posto no?

[Uno]

ho letto velocemente.... quini potrei dire una "corbelleria"

Intendi un'alessandrata?

ma se sposti quel sito su un'altra porta e poi apri quella porta solo per l'ip del tuo cliente?

Non tutti hanno un ip fisso, ma se autentica tramite http basta inserire la password alla prima nuova connessione e poi finchè non chiude browser/pc/modem è a posto.

[tecnolive]

Ho letto al volo il tuo post, credo che potresti fare così:

Codice:

RewriteCond %{REMOTE_ADDR} !^xxx\.xxx\.xxx\.xxx$
RewriteCond %{REMOTE_ADDR} !^yyy\.yyy\.yyy\.yyy$
RewriteRule !^manutenzione/.*$ /manutenzione/   [R=302,L]

Facendo così autorizzi solo gli ip che vuoi, tutto il resto dei visitatori verranno reindirizzi nella cartella manutenzione....

Non so se è quello che volevi ..... spero di esserti stato di aiuto.
Ciao

[GrG]

Secondo me se ha detto che non vuole scomodare le VPN è perchè non sa a priori l'ip di chi si connetterà

[GrG]

Asp, idea:

vuoi la semplicità, quindi anche dare l'url completa è brutto. Fai una pagina tua fuori dalla cartella protetta, lui mette la password e tu fai un redirect all'indirizzo giusto. no?

[Uno]

Asp, idea:

vuoi la semplicità, quindi anche dare l'url completa è brutto. Fai una pagina tua fuori dalla cartella protetta, lui mette la password e tu fai un redirect all'indirizzo giusto. no?

Magari con un nome di cartella hash che tramite cron cambia ogni tot

Quindi la procedura potrebbe essere: il cliente ha l'indirizzo
suodominio.com/test

Se è la prima volta che si connette gli viene chiesta password e poi una volta autenticato accede a suodominio.com/2j2ik56k3l2k42k3/index.php (esempio)

Se è già autenticato il redirect è automatico.

Quando passa un'ora (ma potrebbe essere 10 minuti o un giorno) tramite cron il sistema cambia il nome alla cartella dove c'è tutto il sito di test.

[GrG]

No fermo dicevo molto più semplice io. Lui vuole nascondere il processo di autenticazione HTTP che però è la cosa più semplice.

Allora io farei così:

- Proteggo http://dev.dominio.tld/ via htaccess con user "demo" e password "pass"
- Creo la pagina http://www.dominio.tld/accedi.php che chieda solo una password ("cliente") e abbia una bella interfaccia.

Do al cliente l'ultimo link lui lo apre mette la password e poi la pagina fa un normale redirect ad:

http://demo:pass@dev.dominio.tld/

Usiamo l'autenticazione http che è il modo più semplice e non richiede modifiche al codice ma la nascondiamo.

L'unico problema è che se mette il sito nei preferiti la volta dopo gli viene chiesto un utente e una pass che non ha ma basta dirgli di accedere tramite il link che gli ho dato io. Del resto col tuo metodo avresti il problema che se se lo salva nei preferiti si beccaun 404.

[WizOfOz]

Intendi un'alessandrata?