php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #16 (permalink)  
Alt 11-05-2009, 11:42
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Wo siehst du sicherheitstechnische Bedenken?
In diesem Fall eher datenschutztechnische Bedenken. Solange der Cookie auf der Platte liegt, lässt das evtl. Rückschlüsse zu. Es geht um folgendes: Wenn ich die Session-Funktionen verwende, will ich auch genau wissen, was alles im Hintergrund abläuft und ggf. darauf Einfluss nehmen. Also wenn ich die Session komplett vernichten will, muss ich auch wissen, dass der Cookie eben noch vorhanden ist.
Mit Zitat antworten
  #17 (permalink)  
Alt 11-05-2009, 13:25
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Übertreibst du da nicht ein wenig? Was soll an einem Session Cookie gefährlich sein? Man kann daran nur erkennen, dass ich auf der entsprechenden Domain war. Das sieht man aber auch in der History.
Wichtig ist nur, dass die Applikation nicht irgendwelche Daten preisgibt, nur weil eine SID da ist. Sie muss halt wirklich den Loginzustand prüfen.
Mit Zitat antworten
  #18 (permalink)  
Alt 11-05-2009, 13:33
Benutzerbild von fireweasel fireweasel
 Registrierter Benutzer
Links : Onlinestatus : fireweasel ist offline
Registriert seit: Sep 2008
Ort: At home
Beiträge: 851
fireweasel wird schon bald berühmt werdenfireweasel wird schon bald berühmt werden
fireweasel eine Nachricht über AIM schicken fireweasel eine Nachricht über Yahoo! schicken
Standard

Zitat:
Zitat von Benni16 Beitrag anzeigen
danke für die antwort.

habe jetzt von md5 auf sha1 gewechselt..
... und welches Plus an Sicherheit erwartest du dir von dieser Umstellung?

Rainbowtables gibts sicher auch für SHA-1 ...

You're Probably Storing Passwords Incorrectly
Suche nach dem Satz "Add a long, unique random salt to each password you store".

Geändert von fireweasel (11-05-2009 um 13:47 Uhr)
Mit Zitat antworten
  #19 (permalink)  
Alt 11-05-2009, 13:42
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von onemorenerd Beitrag anzeigen
Übertreibst du da nicht ein wenig? Was soll an einem Session Cookie gefährlich sein? Man kann daran nur erkennen, dass ich auf der entsprechenden Domain war. Das sieht man aber auch in der History.
Wichtig ist nur, dass die Applikation nicht irgendwelche Daten preisgibt, nur weil eine SID da ist. Sie muss halt wirklich den Loginzustand prüfen.
Nein, ich übertreibe nicht. Es geht hier wie gesagt um Datenschutz und weniger um Sicherheit. Die Browser-History kann man löschen und die Cookies übersehen. Warum soll man sich auf den Zufall verlassen? Wenn ich doch weiß, dass ich den Cookie nicht mehr benötige, wird er einfach entfernt
Mit Zitat antworten
  #20 (permalink)  
Alt 11-05-2009, 13:46
litterauspirna
 Registrierter Benutzer
Links : Onlinestatus : litterauspirna ist offline
Registriert seit: Nov 2007
Beiträge: 364
litterauspirna ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Darf ich dich aber auch mal fragen was dir hier an den Antworten nicht gepasst hat? Hier in dem Forum ein anderer Nickname aber der Quelcode doch sehr gleich, nur etwas den Ratschlägen angepasst. Ich denke wenn man dich einmal auf Crosspostings hinweist, ist es nciht zuviel verlangt sich zu informieren was das ist und sich dann daran zu halten.

Loginsystem so sicher? - php.de
LoginSystem so sicher? - Forum: phpforum.de

Gruß litter
Mit Zitat antworten
  #21 (permalink)  
Alt 11-05-2009, 13:55
Benutzerbild von fireweasel fireweasel
 Registrierter Benutzer
Links : Onlinestatus : fireweasel ist offline
Registriert seit: Sep 2008
Ort: At home
Beiträge: 851
fireweasel wird schon bald berühmt werdenfireweasel wird schon bald berühmt werden
fireweasel eine Nachricht über AIM schicken fireweasel eine Nachricht über Yahoo! schicken
Standard

Zitat:
Zitat von Cheadle Beitrag anzeigen
Nein, ich übertreibe nicht. Es geht hier wie gesagt um Datenschutz und weniger um Sicherheit. Die Browser-History kann man löschen und die Cookies übersehen. Warum soll man sich auf den Zufall verlassen? Wenn ich doch weiß, dass ich den Cookie nicht mehr benötige, wird er einfach entfernt
Und wie willst du das vom Server aus anstellen? Ob und wie der Client die Cookie-Date(ie)n von der Festplatte putzt, entscheidet der ganz alleine. Diesen Vorgang kannst du auf der Serverseite allenfalls anstoßen, durchgeführt wird er vom Browser, nach dessen Regeln. Der FF bspw. nutzt neuerdings eine SQLite-Datenbank dafür. Wenn man darin Datensätze löscht, bleiben die trotzdem lesbar. Erst nach Überschreiben oder nach einer Defragmentierung kann man sicher sein, dass die Daten wirklich weg sind.
Mit Zitat antworten
  #22 (permalink)  
Alt 11-05-2009, 14:04
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Das bestreitet niemand. Die Daten sind aber nicht mehr über 3 Klicks für den Normal-User erreichbar. Es geht darum, das zu tun, was innerhalb meiner Möglichkeiten liegt. Da ich mit der einen Extrazeile Code die Privatsphäre ein wenig verbessern kann, verstehe ich die Einwände nicht.
Mit Zitat antworten
  #23 (permalink)  
Alt 11-05-2009, 14:13
Benni16
 Registrierter Benutzer
Links : Onlinestatus : Benni16 ist offline
Registriert seit: May 2009
Ort: Bayern
Beiträge: 12
Benni16 befindet sich auf einem aufstrebenden Ast
Benni16 eine Nachricht über ICQ schicken
Standard crosspostings

Ich habe mich über Crosspostings informiert. Nur die Themen wurden ja gleich geschlossen. Soll ich dann wiederrum ein neues Thema in diesem Forum erstellen? eher nicht. Ich habe mein Acc bei phpforum.de gelöscht, werde mich jetzt nur noch auf dieses Forum hier beziehen und auch keine Crosspostings mehr tätigen.

Zitat:
Zitat von litterauspirna Beitrag anzeigen
Darf ich dich aber auch mal fragen was dir hier an den Antworten nicht gepasst hat?
Welche Antwort hat mir denn nicht gepasst?
Mit Zitat antworten
  #24 (permalink)  
Alt 11-05-2009, 14:29
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

@Cheadle: Welche "Rückschlüsse" kannst du aus dem Vorhandensein eines Session Cookie ziehen?
Mit Zitat antworten
  #25 (permalink)  
Alt 11-05-2009, 14:33
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Wurde schon geschrieben: (Im Normalfall) wo und wann jemand gewesen ist.
Mit Zitat antworten
  #26 (permalink)  
Alt 11-05-2009, 14:36
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Ein letztes Mal zum absurden Vorhaben: "SessionCookie löschen"

1. Wie kommst du überhaupt auf die aberwitzige Idee, dass jemand deinen LogoutButton drückt?
2. Nach dem Logout gibts bei dir eine Weiterleitung zu formular.php. Und schwups, hasste ein neues SessionCookie! Was ist an dem neuen Cookie Datenschutztechnisch weniger bedenklich?
__________________
Wir werden alle sterben
Mit Zitat antworten
  #27 (permalink)  
Alt 11-05-2009, 14:47
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von combie Beitrag anzeigen
Ein letztes Mal zum absurden Vorhaben: "SessionCookie löschen"

1. Wie kommst du überhaupt auf die aberwitzige Idee, dass jemand deinen LogoutButton drückt?
2. Nach dem Logout gibts bei dir eine Weiterleitung zu formular.php. Und schwups, hasste ein neues SessionCookie! Was ist an dem neuen Cookie Datenschutztechnisch weniger bedenklich?
Leute...

1. Das ist kein Argument. Es gibt mehr als genug Beispiele, wo die User sehr bewusst auf Logout klicken. Also tue ich ihnen den Gefallen und entferne auch gleich meine Cookies.
2. Cheadle != Threadersteller. Bei mir gäbe es diese Weiterleitung nicht.
Mit Zitat antworten
  #28 (permalink)  
Alt 11-05-2009, 15:02
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Wie löschst du denn den Session Cookie? Du teilst dem Browser mit, er wäre abgelaufen. Der Browser wird ihn also irgendwann abräumen. Damit hast du alles getan, was in deiner Macht steht. Das ist auch gut so, ehrlich.

Aber sag mal, wie prüfst du denn, ob ein User eingeloggt ist? Du machst session_start() und dann schaust du in $_SESSION nach, richtig? Das machst du bestimmt auch auf der Startseite so. Und zack, hat jeder der deine Site betritt einen Session Cookie, auch ohne sich ein- oder auszuloggen.

Um konsequent zu sein, musst du also für alle anonymen User bei jedem Request, bei dem ein session_start() stattfindet gleich wieder mit setcookie() hinterrennen. Hand aufs Herz, machst du das wirklich?
Mit Zitat antworten
  #29 (permalink)  
Alt 11-05-2009, 15:33
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von onemorenerd Beitrag anzeigen
Aber sag mal, wie prüfst du denn, ob ein User eingeloggt ist? Du machst session_start() und dann schaust du in $_SESSION nach, richtig? Das machst du bestimmt auch auf der Startseite so. Und zack, hat jeder der deine Site betritt einen Session Cookie, auch ohne sich ein- oder auszuloggen.

Um konsequent zu sein, musst du also für alle anonymen User bei jedem Request, bei dem ein session_start() stattfindet gleich wieder mit setcookie() hinterrennen. Hand aufs Herz, machst du das wirklich?
Nein, aber ich verwende auch nur selten die PHP-Funktionen...

Falls doch, wird der User zu einer Seite weitergeleitet, auf der der Logout bestätigt wird. Hier wird kein Cookie mehr gesetzt. Alles weitere bleibt dem User überlassen.
Mit Zitat antworten
  #30 (permalink)  
Alt 11-05-2009, 16:05
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von asp2php Beitrag anzeigen
... mysql_escape_string hier anzuwenden ist überflüssig, die md5 Funktion verändert den Inputstring dermaßen schon, dass eine Gefahr nicht mehr besteht.
SELFHTML Forumsarchiv / 2009 / Mai / mysql_real_escape_string und md5 (PHP)
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 21:19 Uhr.