Warnung: file_put_contents(/home/www/web1/html/php_dev/test.txt) [function.file-put-contents]: failed to open stream: Permission denied in /home/www/web1/html/php_dev/sys/lib.activity.php (Zeile 58)
Grundverständnis von Loginsicherheit=) [Archiv] - PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr

- Ad -
php-resource



PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen :
Grundverständnis von Loginsicherheit=)

 
nlochat
03-10-2005, 10:18 
 
Hallo!

ich habe ein Loginsystem erstellt, es funktioniert wunderbar und man hat mir ans Herz gelegt, Cookies zu nehmen!

Ich hab mir ein bisschen Gedanken über die Sicherheit gemacht!

Die Session ID und der Nick werden in einem Cookie gespeichert und wenn diese Werte mit der Datenbank übereinstimmen, gilt man als eingeloggt!

sollte ich noch das Passwort (md5();) zur kontrolle hinzufügen oder ist das für normalen Gebrauch sicher genug?

Danke für eure Meinungen/Ratschläge/Hilfen =)


lg
 
Shurakai
03-10-2005, 11:28 
 
Sich nur auf Cookies zu verlassen ist eine Dummheit....

Sollen die Cookies immer nach dem Einloggen gesetzt werden oder soll es auch ein "Auto-Login"-System werden?
 
nlochat
03-10-2005, 11:31 
 
die cookies werden nach dem login gesetzt und sobald diese gesetzt sind werden sie immer ausgelesen (ob mit der datenbank user,pass, und sessionid zusammenstimmen)

ist dies der fall, so kommt man auf die member-seiten=)bzw. hat darauf zugriff=)

was würdest du sonst noch vorschlagen außer cookies?
 
AlphaWolf
03-10-2005, 11:57 
 
Sprechen wir hier von den normalen Sessioncookies? Oder von eigenen Cookies, die du zum Autologin verwendest?
 
nlochat
03-10-2005, 12:09 
 
es sind eigene cookies=)
 
kaguya
03-10-2005, 12:37 
 
du solltest beim login user & pw überprüfen und dann in deiner Session (wenn du denn eine benutzt ansonsten erstellen) die entsprechenden Werte setzen damit der user eingeloggt ist.

Cookies würde ich nur für einen Dauerlogin benutzen, da mache ich das so das ich userid und md5 checksum vom pw speicher und das auch beim ersten seitenaufruf überprüfen und dann wieder mit der Session weitermachen
 
nlochat
03-10-2005, 13:44 
 
Es soll ja sowas wie ein Dauerlogin sein=)also dass man länger eingeloggt wird=)

ähm was ist dann eigentlich der Vorteil von der Session?

Beim Login wird eh alles überprüft(eh ganz klar) und dann halt per Session und per Cookie gespeichert!beides wird dann immer überprüft und auch mit Datenbank(auch SessID wird in DB gespeichert)=)weiß net ob das vl. ein bisschen zu kompliziert ist, aber ich denke, dass das doch dann halbwegs sicher sein müsste oder?=)
 - -

Alle Zeitangaben in WEZ +2. Es ist jetzt 19:06 Uhr.