Wo siehst du sicherheitstechnische Bedenken?
Mein Loginscript so sicher?
Einklappen
X
-
-
Übertreibst du da nicht ein wenig? Was soll an einem Session Cookie gefährlich sein? Man kann daran nur erkennen, dass ich auf der entsprechenden Domain war. Das sieht man aber auch in der History.
Wichtig ist nur, dass die Applikation nicht irgendwelche Daten preisgibt, nur weil eine SID da ist. Sie muss halt wirklich den Loginzustand prüfen.
Kommentar
-
Zitat von Benni16 Beitrag anzeigendanke für die antwort.
habe jetzt von md5 auf sha1 gewechselt..
Rainbowtables gibts sicher auch für SHA-1 ...
You're Probably Storing Passwords Incorrectly
Suche nach dem Satz "Add a long, unique random salt to each password you store".Zuletzt geändert von fireweasel; 11.05.2009, 12:47.
Kommentar
-
Zitat von onemorenerd Beitrag anzeigenÜbertreibst du da nicht ein wenig? Was soll an einem Session Cookie gefährlich sein? Man kann daran nur erkennen, dass ich auf der entsprechenden Domain war. Das sieht man aber auch in der History.
Wichtig ist nur, dass die Applikation nicht irgendwelche Daten preisgibt, nur weil eine SID da ist. Sie muss halt wirklich den Loginzustand prüfen.
Kommentar
-
Darf ich dich aber auch mal fragen was dir hier an den Antworten nicht gepasst hat? Hier in dem Forum ein anderer Nickname aber der Quelcode doch sehr gleich, nur etwas den Ratschlägen angepasst. Ich denke wenn man dich einmal auf Crosspostings hinweist, ist es nciht zuviel verlangt sich zu informieren was das ist und sich dann daran zu halten.
Loginsystem so sicher? - php.de
LoginSystem so sicher? - Forum: phpforum.de
Gruß litterAus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
http://www.lit-web.de
Kommentar
-
Zitat von Cheadle Beitrag anzeigenNein, ich übertreibe nicht. Es geht hier wie gesagt um Datenschutz und weniger um Sicherheit. Die Browser-History kann man löschen und die Cookies übersehen. Warum soll man sich auf den Zufall verlassen? Wenn ich doch weiß, dass ich den Cookie nicht mehr benötige, wird er einfach entfernt
Kommentar
-
Das bestreitet niemand. Die Daten sind aber nicht mehr über 3 Klicks für den Normal-User erreichbar. Es geht darum, das zu tun, was innerhalb meiner Möglichkeiten liegt. Da ich mit der einen Extrazeile Code die Privatsphäre ein wenig verbessern kann, verstehe ich die Einwände nicht.
Kommentar
-
crosspostings
Ich habe mich über Crosspostings informiert. Nur die Themen wurden ja gleich geschlossen. Soll ich dann wiederrum ein neues Thema in diesem Forum erstellen? eher nicht. Ich habe mein Acc bei phpforum.de gelöscht, werde mich jetzt nur noch auf dieses Forum hier beziehen und auch keine Crosspostings mehr tätigen.
Zitat von litterauspirna Beitrag anzeigenDarf ich dich aber auch mal fragen was dir hier an den Antworten nicht gepasst hat?
Kommentar
-
Ein letztes Mal zum absurden Vorhaben: "SessionCookie löschen"
1. Wie kommst du überhaupt auf die aberwitzige Idee, dass jemand deinen LogoutButton drückt?
2. Nach dem Logout gibts bei dir eine Weiterleitung zu formular.php. Und schwups, hasste ein neues SessionCookie! Was ist an dem neuen Cookie Datenschutztechnisch weniger bedenklich?
Kommentar
-
Zitat von combie Beitrag anzeigenEin letztes Mal zum absurden Vorhaben: "SessionCookie löschen"
1. Wie kommst du überhaupt auf die aberwitzige Idee, dass jemand deinen LogoutButton drückt?
2. Nach dem Logout gibts bei dir eine Weiterleitung zu formular.php. Und schwups, hasste ein neues SessionCookie! Was ist an dem neuen Cookie Datenschutztechnisch weniger bedenklich?
1. Das ist kein Argument. Es gibt mehr als genug Beispiele, wo die User sehr bewusst auf Logout klicken. Also tue ich ihnen den Gefallen und entferne auch gleich meine Cookies.
2. Cheadle != Threadersteller. Bei mir gäbe es diese Weiterleitung nicht.
Kommentar
-
Wie löschst du denn den Session Cookie? Du teilst dem Browser mit, er wäre abgelaufen. Der Browser wird ihn also irgendwann abräumen. Damit hast du alles getan, was in deiner Macht steht. Das ist auch gut so, ehrlich.
Aber sag mal, wie prüfst du denn, ob ein User eingeloggt ist? Du machst session_start() und dann schaust du in $_SESSION nach, richtig? Das machst du bestimmt auch auf der Startseite so. Und zack, hat jeder der deine Site betritt einen Session Cookie, auch ohne sich ein- oder auszuloggen.
Um konsequent zu sein, musst du also für alle anonymen User bei jedem Request, bei dem ein session_start() stattfindet gleich wieder mit setcookie() hinterrennen. Hand aufs Herz, machst du das wirklich?
Kommentar
-
Zitat von onemorenerd Beitrag anzeigenAber sag mal, wie prüfst du denn, ob ein User eingeloggt ist? Du machst session_start() und dann schaust du in $_SESSION nach, richtig? Das machst du bestimmt auch auf der Startseite so. Und zack, hat jeder der deine Site betritt einen Session Cookie, auch ohne sich ein- oder auszuloggen.
Um konsequent zu sein, musst du also für alle anonymen User bei jedem Request, bei dem ein session_start() stattfindet gleich wieder mit setcookie() hinterrennen. Hand aufs Herz, machst du das wirklich?
Falls doch, wird der User zu einer Seite weitergeleitet, auf der der Logout bestätigt wird. Hier wird kein Cookie mehr gesetzt. Alles weitere bleibt dem User überlassen.
Kommentar
-
Zitat von asp2php Beitrag anzeigen... mysql_escape_string hier anzuwenden ist überflüssig, die md5 Funktion verändert den Inputstring dermaßen schon, dass eine Gefahr nicht mehr besteht.I don't believe in rebirth. Actually, I never did in my whole lives.
Kommentar
Kommentar