Im Rahmen des [Syndication Projects][1] prüfen wir im Moment, wie man nicht-öffentliche Inhalte syndizieren kann.
Dabei stellt sich die Frage, wie Feed Reader mit Feeds umgehen, die ein HTTP Login (HTTP Auth), Cookies oder was-auch-immer voraussetzen. Die Credentials (Username und Passwort, oder ein daraus gebildeter Hash) per URL zu übergeben wäre zwar machbar, ist aber in unseren Augen nicht sinnvoll. Man denke an web-basierte Feed Reader, die Feed-URLs publizieren ;)
**Update:**
HTTPS (SSL) ist leider auch keine Alternative. Wir sprechen hier vom Syndication Modul für phpBB - und phpBB wird vor allem in Shared Hosting Umgebungen genutzt. Unsere Lösung muss also auch dort funktionieren, wo man keinen Zugriff auf die Konfiguration des Webservers hat.
Wie sind Eure Erfahrungen mit diesem Thema? Benutzt Ihr einen Feed Reader, der HTTP Auth beherrscht? Bietet Ihr nicht-öffentliche Feeds an? Wie sind Eure Erfahrungen im Umgang mit solchen Feeds? Oder habt Ihr andere Ideen, wie man private Inhalte möglichst sicher syndizieren könnte?
[1]: http://www.itst.org/web/384-phpbb_community_coding.shtml
über ein VPN ;-)
Also ich nutze Blogmatrix Jäger als Aggregator. Der wird allerdings AFAIK seit geraumer Zeit schon nicht mehr gepflegt oder weiterentwickelt - den sourcecode gibt es aber bei sourceforge.
Er beherrscht HTTP-Auth. Ich habe es aber - außer testweise (Basic) - nie genutzt. Und publiziere auch selber keine privaten Feeds.
Vermutlich hängt es vom notwendigen Sicherheitsgrad ab ob und wie man syndizieren kann/sollte. Ich finde schon, dass HTTP-Auth eine gute Lösung ist, da sie erlaubt die Anmeldedaten getrennt von der URL zu übertragen.
Eine bessere und vor allem standardisierte Möglichkeit fällt mir auf Anhieb auch nicht ein.
Was mir gerade durch den Kopf geht: Was passiert, wenn ich einen per HTTP-Auth geschützten Feed mit einem Web-Aggregator (der HTTP-Auth beherrscht) syndiziere und öffentlich zugänglich mache? Macht das nicht in letzter Konsequenz jeden denkbaren Passwortschutz zunichte?
Hmm. Eigentlich wäre so ein Feedreader ziemlich doof, oder? Er müsste doch merken, das der Content aus einem solchen Feed nicht öffentlich publiziert werden sollte. Aber ich sehe schon, wir kommen nicht um ein paar Tests herum.
Mein Newsreader (netnewswire) beherrscht Basic HTTP Authentication. Das Verfahren ist so simpel, dass das wahrscheinlich auch andere Desktop-Aggregatorem beherrschen. Bei Server-Aggregatoren ist das Feature dagegen ziemlich unsinnig. Der Server holt den Feed ja für alle User nur einmal ab und nicht etwa für jeden Subscriber einzeln. Deshalb wird das jemand, der einen Serveraggregator schreibt, eher nicht implementieren.
Es wird wohl HTTP Auth werden. Feeds mit nicht-öffentlichen Inhalten haben wahrscheinlich eine kleinere Leserschaft (zum Beispiel das Moderations-Team eines Forum oder eine geschlossene Benutzergruppe), so dass die Hürde ‘HTTP-Auth-fähiger Feedreader’ annehmbar ist.
Danke für den Input, I will keep you posted.