Geschützter Memberbereich... [Newbie!!!!!]

**BrainBug** · 05.02.2002, 07:24

wenn das Einloggen dann auch für künftige Sitzungen gültig sein soll, dann kannst du die Login-Daten auch gleich in ein dauerhaftes Cookie schreiben. Und dieses Cookie mußt du überall auslesen, wo so ein "geschützter" Bereich auftauchen kann oder eben nicht.
Also -> jemand loggt sich ein -> prüfen ob Member -> Cookie schreiben -> bei Bedarf immer prüfen, ob Cookie gesetzt.
Ist natürlich nicht die sicherste Variante. Aber vielleicht reicht dir das ja schon...

**Memphis8179** · 05.02.2002, 07:43

erstmal ein danke schön

Original geschrieben von BrainBug
Ist natürlich nicht die sicherste Variante.

Bestehen noch andere Sicherheits lücken aus der das ein cookie von einem dritten geklaut werden könnte?

**BrainBug** · 05.02.2002, 07:52

hmmm

naja, nicht der Diebstahl, sondern die Manipulation -> kannst du weitgehend durch Verschlüsselung der Cookiedaten ausräumen.
Dann noch die Frage, was speicherst du im Cookie -> User und Passwort und dann beim Website-Eintritt gleich checken, ob korrekter User -> wenn ja, Session starten und in Sessiondaten speichern, daß User angemeldet ist.
Und dann natürlich noch die unverschlüsselte Übertragung des Logins als potentielle Gefahr.
Mehr fällt mir gerade nicht ein, aber ist natürlich alles eine Frage des Aufwands, d.h. wie sehr muß der Bereich wirklich geschützt sein.

**Wotan** · 05.02.2002, 08:30

Dann kommt noch hinzu das nicht jeder Sufer Cookies erlaubt!!!!!!

**JoelH** · 05.02.2002, 08:31

hmm,

schau mal hier =>
http://www.php-resource.de/tutorials.php
und hier gibts auchnoch die entsprechenden Files dazu :
http://www.joelh.de/download/login.zip

**Memphis8179** · 05.02.2002, 08:47

danke euch allen, jetzt hab ich wieder genug Infos um mein hirn mal wieder richtig zu füttern

MFG

Memphis8179

**BrainBug** · 05.02.2002, 08:51

Original geschrieben von Wotan
Dann kommt noch hinzu das nicht jeder Sufer Cookies erlaubt!!!!!!

selber Schuld!

**Wotan** · 05.02.2002, 09:06

wieso selber schuld. In einigen Firmennetzen sind sogar Firewall installiert die Cookies überhaupt nicht zulassen, willst du die Aussperren? Es geht auch alles OHNE Cookies.

**BrainBug** · 05.02.2002, 09:13

Original geschrieben von Wotan
Es geht auch alles OHNE Cookies.

das ist gelogen. Wie willst du clientseitig dir über längere Zeit Daten merken wenn nicht mit Cookies?

**Wotan** · 05.02.2002, 09:18

Es geht doch hier nur um Login oder nicht.
siehe Eintrag:
http://www.php-resource.de/forum/sho...?threadid=2849

Da geht es doch auch ohne Cookies.

Können wir das nach Off-Topics verlegen?

**JoelH** · 05.02.2002, 09:20

hmm,

also das geht nur solange wie du eine Kette von URLs benutzt die ihre Daten per 'get' Methode weitergeben.

Ich finde es auch schwachsinnig Cookies aus zu schalten, dies ist keine Lösung, eher sollten sich mal die Browserhersteller um ihre Sicherheitsprobleme kümmern, ich will keine Namen nennen. Aber immer zu sagen schalt die und das ab löst das Problem nicht. Ich meine wenn mein Auto einen Schaden hat dann fahr ich doch auch in die Werkstatt und lass es machen, aber ich kauf mir kein neues und lass das alte ausgeschaltet in der Garage stehen, das ist doch Schwachsinn. Man muss die Krankheit im Kern bekämpfen nicht die Symtome unterdrücken !

**Wotan** · 05.02.2002, 09:25

Das ist so wie du(@JoelH) sagst ja richtig, aber wenn du weiß das bestimmte Sachen (Cookies, Java-Applets, javaScript) abgeschaltet sind, dann versuchst du doch auch deine Seite diesen Leuten trotzdem zur Verfügung zustellen, ODER

**JoelH** · 05.02.2002, 09:33

hmm,

nein.

Die Leute verwenden ja auch Flash ohne zu fragen ob man nicht etwa mit Lynx surft.
Ich denke man muss einen Kompromiss finden und diesen auch verfolgen. Ich denke man sollte die Sachen verwenden die als 'Standard' anerkannt sind und Sonderformen weg lassen.
Ich würde nie irgendwelchen VBS Quatsch etc. verwenden. Das ist nicht Kompatibel, aber Flash ist schon okay oder Cookies, über JS lässt sich jetzt wieder Trefflich streiten, ich bin pro JS weil es Dinge gibt die man anders nicht lösen kann.
Und dieser Cookiewahn geht mir echt auch nicht ab, denn es ist oft Schwachsinn was geschrieben steht. Cookies verraten nur das was der Anwender selbst eingibt. Wenn du jeden einzelnnen Cookie per Hand zulässt oder auch ablehnst hast du die volle Kontrolle. Die Kontrolle verliert nur dieser Browsermüll der Sicherheitslücken aufweisst. Wie gesagt, die M$ Jungs sollten schaun das sie ihre Arbeit besser machen und nicht einfach behaupten Cokkies sind Böse und sollte deaktiv sein.

Es ist doch bei ActiveX genauso, zuerst als superinnovativ gepriesen, aber der grösste Sicherheitsbug seit es Inet gibt. Also ehrlich.

**Wotan** · 05.02.2002, 09:42

Denn stimme ich zu, aber es geht halt auch anders. Wenn ich mit Datenbanken arbeite kann ich einiges in die Datenbank schreiben und muß das nicht als Cookie speichern. Gut mir geht der bezug zum User verloren, aber das kann ich um gehen wenn ich mit Logins arbeiten. Im Bezug auf ActivX und JavaScript, ich benutze auch JavaScripte obwohl ich weiß das bei einer kleinen Zahl von Usern JavaScript deaktiviert wurde. Doch ich weise darauf hin das diese Internetseite JavaScript benötigt um sie anzusehen.

Aber wir wollen hier keine Grundsatzdiskusion lostretten. Mein Eintrag ging eigentlich dahin, das Mann oder Frau das auch per Datenbank machen kann. Was mir sinnvoller erscheint als mit Cookies.

Geschützter Memberbereich... [Newbie!!!!!]