Community: Arbeiten mit Tokens sicherer?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Community: Arbeiten mit Tokens sicherer?

    Hallo,

    aktuell loggen sich die Leute bei einer Community mit eMail + Passwort ein, Daten werden überprüft, userid zur weiteren Verwendung in Session geschrieben... falls Autologin ausgewählt wurde, dann wird zusätzlich noch ein Cookie gesetzt mit userid und passwort als md5.

    Jetzt sehe ich immer öfter Seiten die mit "Tokens" arbeiten...

    Ist das eine sichere Variante? Wie läuft das dann genau ab?

    Die Leute loggen sich wie üblich ein, ein Token wird generiert und in die DB geschrieben... ?!

    In der Community arbeite ich allerdings oft mit den Session-Variablen $_SESSION['userid'] + $_SESSION['username'] usw.

  • #2
    Kommt darauf an wie zufällig der Token generiert wird. Solange es nicht wirklich zufällig ist, kann es einem Bösewicht die Arbeit eher erleichtern als erschweren.
    http://www.heise.de/newsticker/Trend...meldung/114746
    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

    Kommentar


    • #3
      falls Autologin ausgewählt wurde, dann wird zusätzlich noch ein Cookie gesetzt mit userid und passwort als md5.
      Hat im Cookie nichts zu suchen...

      Das Thema auto-login wurde aber bereits mehrfach besprochen. suche!

      Ist das eine sichere Variante? Wie läuft das dann genau ab?
      Was unterscheidet einen solchen Token von deinem Hash
      (Außer dass man aus einem Token kein Passwort ableiten kann.)

      In der Community arbeite ich allerdings oft mit den Session-Variablen $_SESSION['userid'] + $_SESSION['username'] usw.
      Ja und? Was hat das mit dem Login zu tun?

      Kommentar


      • #4
        Solange es nicht wirklich zufällig ist, kann es einem Bösewicht die Arbeit eher erleichtern als erschweren.
        Das ist aber auch wirklich dumm. Zumal man dennoch erst ungefähr wissen muss, worauf der Algorithmus beruht, bzw. dies rausfinden muss.

        Kommentar


        • #5
          Also zum Thema "Autologin" finde ich nur die üblichen Versionen hier im Forum...

          Ich dachte ja der Token hat auch was mit dem Autologin zu tun...

          Kommentar


          • #6
            Ja, hab den Vergeich zu deinem aktuellen System doch schon gezogen. Was brauchst du noch mehr?

            Kommentar


            • #7
              @TobiaZ
              Pseudozufallszahlen gelten doch für Einmalschlüssel (Tokens) als nicht ausreichend sicher, oder?
              Es ist mir schon klar, dass man erst hinter den Algorithmus kommen muss. Aber eine Sicherheit die auf Geheimhaltung des Algos beruht würde ich jetzt nicht wirklich als sicher bezeichnen (mag für ne Webpage ausreichen)
              Einmaltokens (Schlüssel) gelten doch - wenn sie ausreichend zufällig sind - als mathematisch unknackbar.
              Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

              [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
              Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

              Kommentar


              • #8
                Welchen Unterschied macht es denn wenn ich einen Token im Autologin-Cookie habe? Damit können doch "Fremde" genausogut auf den Account zugreifen...

                Kommentar


                • #9
                  Einmaltokens (Schlüssel) gelten doch - wenn sie ausreichend zufällig sind - als mathematisch unknackbar.
                  Jou, das sehe ich auch so.

                  Welchen Unterschied macht es denn wenn ich einen Token im Autologin-Cookie habe? Damit können doch "Fremde" genausogut auf den Account zugreifen...
                  Worauf zielt deine Gegenfrage ab?

                  Kommentar


                  • #10
                    Re: Community: Arbeiten mit Tokens sicherer?

                    Original geschrieben von Truncate
                    Jetzt sehe ich immer öfter Seiten die mit "Tokens" arbeiten...
                    darf ich mal blöd fragen, was damit gemeint ist?

                    "token" sagt mir jetzt nur im zusammenhang mit einem formular etwas, um doppelte submits (reload) abzufangen.

                    Kommentar


                    • #11
                      Ich kann mir schon was darunter vorstellen, auch wenn ich den Begriff Token nicht angemessen finde. Token sind nicht unbedingt unique.
                      Wir werden alle sterben

                      Kommentar


                      • #12
                        Ich denke mal, wir meinen alle einen zufällig (aber wirklich weitestgehend zufälig) generierten String, ...

                        Kommentar


                        • #13
                          achso, ein token für's autologin.
                          das ist doch eine nette funktion: http://de.php.net/manual/de/function.uniqid.php#75740

                          aber weil das thema sicherheit angesprochen wurde.
                          wenn mehrere benutzer an dem pc arbeiten oder bei diebstahl/verlust wird's problematisch.
                          bei einer community vielleicht paranoid, beim onlinebanking jedoch nicht. kommt halt darauf an, wie wichtig oder schützenswert die daten sind.

                          Kommentar


                          • #14
                            das ist doch eine nette funktion: http://de.php.net/manual/de/function.uniqid.php#75740
                            joar, nett schon. Aber zum Teil nicht so wirklich zufällig.

                            aber weil das thema sicherheit angesprochen wurde.
                            wenn mehrere benutzer an dem pc arbeiten oder bei diebstahl/verlust wird's problematisch.
                            Das sind grundlegende Probleme eines Auto-Logins um die es aber eigentlich nicht geht.

                            Kommentar

                            Lädt...
                            X