PHP News

#16 (**permalink**) 17-12-2006, 21:27

Zitat:

Original geschrieben von ghostgambler
Du glaubst also, dass ein 32^16 Zufallswert ein riesen Sicherheitsloch ist?
Ich finde das für reines BruteForce schon zu zeitaufwendig...

... und bei 16^32 ist es noch zeitaufwändiger

#17 (**permalink**) 17-12-2006, 21:33

Dann deutlicher:
Ich halte ein (Auto)Dauerlogin für unsicher....

Auch kann man schlecht voraussagen wann bei md5 kollisionen auftreten.. also, je kürzer die Lebenszeit einer solchen "Markierung", desto sicherer..

#18 (**permalink**) 17-12-2006, 22:46

Zitat:

Original geschrieben von 3DMax
... und bei 16^32 ist es noch zeitaufwändiger

:P ^^

Zitat:

Original geschrieben von combie
Dann deutlicher:
Ich halte ein (Auto)Dauerlogin für unsicher....

Es ist aber nun mal gewünscht. Ich bin sehr erfreut darüber, dass ich mein Passwort nicht immer wieder eintippen muss, spätestens bei meinen eigenen Websiten, wo ich pro Tag wohl in die Hundert Male neu drauf gehe, würde ich wohl nach 3 Tagen auf der Schreibtischoberfläche mein Passwort lesen können >_<

Zitat:

Auch kann man schlecht voraussagen wann bei md5 kollisionen auftreten..

dann halt sha1 Oo

#19 (**permalink**) 17-12-2006, 23:49

Gewünscht war oder ist:

Zitat:

Meine Frage ist nun, ob ich das Problem irgendwie umgehen kann, also die Lifetime der Session nur dann auf ein Jahr setzen kann, wenn sich der User auch wirklich einloggt.

Genau dazu sage ich: Sessions, sind in diesem Fall das falsche Pferdchen!
Das ist meine Meinung und da bringt mich auch so schnell keiner von ab..

ua. Weil: Überzeugende Argumente habe ich hier bei jetzt noch nicht dazu gehört..

Und jetzt gebe ich hier auch Ruhe!
(Meine Lust an Grabenkriegen ist nahe Null)