Sessions und Sicherheit

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sessions und Sicherheit

    Hallo,
    bei einem geplanten Projekt sollen User sich einloggen können und dann über mehrere Seiten wiedererkannt werden. Im jetzigen Stadium werden Passwort und einige andere Daten in einem Session-Cookie gespeichert und dann bei Bedarf abgerufen. Allerdings habe ich festgestellt, dass auf meinem System die Cookies weiterhin vorhanden sind, wenn ich die Sitzung nicht beende (session_destroy). Wahrscheinlich läßt sich das in der php.ini ändern, aber ich habe nun doch die Frage, wie es generell mit der Sicherheit bei Sessions aussieht. Wo werden die Session-Cookies standardmäßig gespeichert? Wie groß ist die Gefahr, dass sie dabei für andere sichtbar sind? Ist es zu unsicher, das Passwort in einer Session zu speichern ? Oder lässt es sich möglicherweise verschlüsselt speichern?
    Viele Fragen - vielleicht kann jemand von euch mir ein paar generelle Tipps geben. MERCI.

  • #2
    ich würde auf jeden Fall darauf verzichten, Username und Passwort in irgendwelchen Session-Variablen zu speichern. Abhilfe schafft da z.B. eine DB-Table fürs Login, also nach erfolgreichem Anmelden vom User einfach die erzeugte SessionID zusammen mit Username und Zeit und sonstige Daten abspeichern. Dann brauchst du bei späterem Aufruf nur die SessionID und in der Table nachschauen. So kann zumindest das Passwort nirgends auftauchen.

    Kommentar

    Lädt...
    X