Tweet
Wo siehst du sicherheitstechnische Bedenken?
-
In diesem Fall eher datenschutztechnische Bedenken. Solange der Cookie auf der Platte liegt, lässt das evtl. Rückschlüsse zu. Es geht um folgendes: Wenn ich die Session-Funktionen verwende, will ich auch genau wissen, was alles im Hintergrund abläuft und ggf. darauf Einfluss nehmen. Also wenn ich die Session komplett vernichten will, muss ich auch wissen, dass der Cookie eben noch vorhanden ist. -
Übertreibst du da nicht ein wenig? Was soll an einem Session Cookie gefährlich sein? Man kann daran nur erkennen, dass ich auf der entsprechenden Domain war. Das sieht man aber auch in der History.
Wichtig ist nur, dass die Applikation nicht irgendwelche Daten preisgibt, nur weil eine SID da ist. Sie muss halt wirklich den Loginzustand prüfen.Comment
-
... und welches Plus an Sicherheit erwartest du dir von dieser Umstellung?Originally posted by Benni16 View Post
Rainbowtables gibts sicher auch für SHA-1 ...
You're Probably Storing Passwords Incorrectly
Suche nach dem Satz "Add a long, unique random salt to each password you store".Last edited by fireweasel; 11-05-2009, 12:47.Comment
-
Nein, ich übertreibe nicht. Es geht hier wie gesagt um Datenschutz und weniger um Sicherheit. Die Browser-History kann man löschen und die Cookies übersehen. Warum soll man sich auf den Zufall verlassen? Wenn ich doch weiß, dass ich den Cookie nicht mehr benötige, wird er einfach entferntOriginally posted by onemorenerd View Post
Comment
-
Darf ich dich aber auch mal fragen was dir hier an den Antworten nicht gepasst hat? Hier in dem Forum ein anderer Nickname aber der Quelcode doch sehr gleich, nur etwas den Ratschlägen angepasst. Ich denke wenn man dich einmal auf Crosspostings hinweist, ist es nciht zuviel verlangt sich zu informieren was das ist und sich dann daran zu halten.
Loginsystem so sicher? - php.de
LoginSystem so sicher? - Forum: phpforum.de
Gruß litterAus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
http://www.lit-web.deComment
-
Und wie willst du das vom Server aus anstellen? Ob und wie der Client die Cookie-Date(ie)n von der Festplatte putzt, entscheidet der ganz alleine. Diesen Vorgang kannst du auf der Serverseite allenfalls anstoßen, durchgeführt wird er vom Browser, nach dessen Regeln. Der FF bspw. nutzt neuerdings eine SQLite-Datenbank dafür. Wenn man darin Datensätze löscht, bleiben die trotzdem lesbar. Erst nach Überschreiben oder nach einer Defragmentierung kann man sicher sein, dass die Daten wirklich weg sind.Originally posted by Cheadle View PostNein, ich übertreibe nicht. Es geht hier wie gesagt um Datenschutz und weniger um Sicherheit. Die Browser-History kann man löschen und die Cookies übersehen. Warum soll man sich auf den Zufall verlassen? Wenn ich doch weiß, dass ich den Cookie nicht mehr benötige, wird er einfach entferntComment
-
Das bestreitet niemand. Die Daten sind aber nicht mehr über 3 Klicks für den Normal-User erreichbar. Es geht darum, das zu tun, was innerhalb meiner Möglichkeiten liegt. Da ich mit der einen Extrazeile Code die Privatsphäre ein wenig verbessern kann, verstehe ich die Einwände nicht.Comment
-
crosspostings
Ich habe mich über Crosspostings informiert. Nur die Themen wurden ja gleich geschlossen. Soll ich dann wiederrum ein neues Thema in diesem Forum erstellen? eher nicht. Ich habe mein Acc bei phpforum.de gelöscht, werde mich jetzt nur noch auf dieses Forum hier beziehen und auch keine Crosspostings mehr tätigen.
Welche Antwort hat mir denn nicht gepasst?Originally posted by litterauspirna View PostComment
-
@Cheadle: Welche "Rückschlüsse" kannst du aus dem Vorhandensein eines Session Cookie ziehen?Comment
-
Wurde schon geschrieben: (Im Normalfall) wo und wann jemand gewesen ist.Comment
-
Ein letztes Mal zum absurden Vorhaben: "SessionCookie löschen"
1. Wie kommst du überhaupt auf die aberwitzige Idee, dass jemand deinen LogoutButton drückt?
2. Nach dem Logout gibts bei dir eine Weiterleitung zu formular.php. Und schwups, hasste ein neues SessionCookie! Was ist an dem neuen Cookie Datenschutztechnisch weniger bedenklich?Comment
-
Leute...Originally posted by combie View PostEin letztes Mal zum absurden Vorhaben: "SessionCookie löschen"
1. Wie kommst du überhaupt auf die aberwitzige Idee, dass jemand deinen LogoutButton drückt?
2. Nach dem Logout gibts bei dir eine Weiterleitung zu formular.php. Und schwups, hasste ein neues SessionCookie! Was ist an dem neuen Cookie Datenschutztechnisch weniger bedenklich?
1. Das ist kein Argument. Es gibt mehr als genug Beispiele, wo die User sehr bewusst auf Logout klicken. Also tue ich ihnen den Gefallen und entferne auch gleich meine Cookies.
2. Cheadle != Threadersteller. Bei mir gäbe es diese Weiterleitung nicht.Comment
-
Wie löschst du denn den Session Cookie? Du teilst dem Browser mit, er wäre abgelaufen. Der Browser wird ihn also irgendwann abräumen. Damit hast du alles getan, was in deiner Macht steht. Das ist auch gut so, ehrlich.
Aber sag mal, wie prüfst du denn, ob ein User eingeloggt ist? Du machst session_start() und dann schaust du in $_SESSION nach, richtig? Das machst du bestimmt auch auf der Startseite so. Und zack, hat jeder der deine Site betritt einen Session Cookie, auch ohne sich ein- oder auszuloggen.
Um konsequent zu sein, musst du also für alle anonymen User bei jedem Request, bei dem ein session_start() stattfindet gleich wieder mit setcookie() hinterrennen. Hand aufs Herz, machst du das wirklich?Comment
-
Nein, aber ich verwende auch nur selten die PHP-Funktionen...Originally posted by onemorenerd View Post
Falls doch, wird der User zu einer Seite weitergeleitet, auf der der Logout bestätigt wird. Hier wird kein Cookie mehr gesetzt. Alles weitere bleibt dem User überlassen.Comment
-
SELFHTML Forumsarchiv / 2009 / Mai / mysql_real_escape_string und md5 (PHP)Originally posted by asp2php View PostI don't believe in rebirth. Actually, I never did in my whole lives.Comment
Moderator
Comment