php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #16 (permalink)  
Alt 11-05-2009, 12:42
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Wo siehst du sicherheitstechnische Bedenken?
In diesem Fall eher datenschutztechnische Bedenken. Solange der Cookie auf der Platte liegt, lässt das evtl. Rückschlüsse zu. Es geht um folgendes: Wenn ich die Session-Funktionen verwende, will ich auch genau wissen, was alles im Hintergrund abläuft und ggf. darauf Einfluss nehmen. Also wenn ich die Session komplett vernichten will, muss ich auch wissen, dass der Cookie eben noch vorhanden ist.
Mit Zitat antworten
  #17 (permalink)  
Alt 11-05-2009, 14:25
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Übertreibst du da nicht ein wenig? Was soll an einem Session Cookie gefährlich sein? Man kann daran nur erkennen, dass ich auf der entsprechenden Domain war. Das sieht man aber auch in der History.
Wichtig ist nur, dass die Applikation nicht irgendwelche Daten preisgibt, nur weil eine SID da ist. Sie muss halt wirklich den Loginzustand prüfen.
Mit Zitat antworten
  #18 (permalink)  
Alt 11-05-2009, 14:33
Benutzerbild von fireweasel fireweasel
 Registrierter Benutzer
Links : Onlinestatus : fireweasel ist offline
Registriert seit: Sep 2008
Ort: At home
Beiträge: 851
fireweasel wird schon bald berühmt werdenfireweasel wird schon bald berühmt werden
fireweasel eine Nachricht über AIM schicken fireweasel eine Nachricht über Yahoo! schicken
Standard

Zitat:
Zitat von Benni16 Beitrag anzeigen
danke für die antwort.

habe jetzt von md5 auf sha1 gewechselt..
... und welches Plus an Sicherheit erwartest du dir von dieser Umstellung?

Rainbowtables gibts sicher auch für SHA-1 ...

You're Probably Storing Passwords Incorrectly
Suche nach dem Satz "Add a long, unique random salt to each password you store".

Geändert von fireweasel (11-05-2009 um 14:47 Uhr)
Mit Zitat antworten
  #19 (permalink)  
Alt 11-05-2009, 14:42
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von onemorenerd Beitrag anzeigen
Übertreibst du da nicht ein wenig? Was soll an einem Session Cookie gefährlich sein? Man kann daran nur erkennen, dass ich auf der entsprechenden Domain war. Das sieht man aber auch in der History.
Wichtig ist nur, dass die Applikation nicht irgendwelche Daten preisgibt, nur weil eine SID da ist. Sie muss halt wirklich den Loginzustand prüfen.
Nein, ich übertreibe nicht. Es geht hier wie gesagt um Datenschutz und weniger um Sicherheit. Die Browser-History kann man löschen und die Cookies übersehen. Warum soll man sich auf den Zufall verlassen? Wenn ich doch weiß, dass ich den Cookie nicht mehr benötige, wird er einfach entfernt
Mit Zitat antworten
  #20 (permalink)  
Alt 11-05-2009, 14:46
litterauspirna
 Registrierter Benutzer
Links : Onlinestatus : litterauspirna ist offline
Registriert seit: Nov 2007
Beiträge: 364
litterauspirna ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Darf ich dich aber auch mal fragen was dir hier an den Antworten nicht gepasst hat? Hier in dem Forum ein anderer Nickname aber der Quelcode doch sehr gleich, nur etwas den Ratschlägen angepasst. Ich denke wenn man dich einmal auf Crosspostings hinweist, ist es nciht zuviel verlangt sich zu informieren was das ist und sich dann daran zu halten.

Loginsystem so sicher? - php.de
LoginSystem so sicher? - Forum: phpforum.de

Gruß litter
Mit Zitat antworten
  #21 (permalink)  
Alt 11-05-2009, 14:55
Benutzerbild von fireweasel fireweasel
 Registrierter Benutzer
Links : Onlinestatus : fireweasel ist offline
Registriert seit: Sep 2008
Ort: At home
Beiträge: 851
fireweasel wird schon bald berühmt werdenfireweasel wird schon bald berühmt werden
fireweasel eine Nachricht über AIM schicken fireweasel eine Nachricht über Yahoo! schicken
Standard

Zitat:
Zitat von Cheadle Beitrag anzeigen
Nein, ich übertreibe nicht. Es geht hier wie gesagt um Datenschutz und weniger um Sicherheit. Die Browser-History kann man löschen und die Cookies übersehen. Warum soll man sich auf den Zufall verlassen? Wenn ich doch weiß, dass ich den Cookie nicht mehr benötige, wird er einfach entfernt
Und wie willst du das vom Server aus anstellen? Ob und wie der Client die Cookie-Date(ie)n von der Festplatte putzt, entscheidet der ganz alleine. Diesen Vorgang kannst du auf der Serverseite allenfalls anstoßen, durchgeführt wird er vom Browser, nach dessen Regeln. Der FF bspw. nutzt neuerdings eine SQLite-Datenbank dafür. Wenn man darin Datensätze löscht, bleiben die trotzdem lesbar. Erst nach Überschreiben oder nach einer Defragmentierung kann man sicher sein, dass die Daten wirklich weg sind.
Mit Zitat antworten
  #22 (permalink)  
Alt 11-05-2009, 15:04
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Das bestreitet niemand. Die Daten sind aber nicht mehr über 3 Klicks für den Normal-User erreichbar. Es geht darum, das zu tun, was innerhalb meiner Möglichkeiten liegt. Da ich mit der einen Extrazeile Code die Privatsphäre ein wenig verbessern kann, verstehe ich die Einwände nicht.
Mit Zitat antworten
  #23 (permalink)  
Alt 11-05-2009, 15:13
Benni16
 Registrierter Benutzer
Links : Onlinestatus : Benni16 ist offline
Registriert seit: May 2009
Ort: Bayern
Beiträge: 12
Benni16 befindet sich auf einem aufstrebenden Ast
Benni16 eine Nachricht über ICQ schicken
Standard crosspostings

Ich habe mich über Crosspostings informiert. Nur die Themen wurden ja gleich geschlossen. Soll ich dann wiederrum ein neues Thema in diesem Forum erstellen? eher nicht. Ich habe mein Acc bei phpforum.de gelöscht, werde mich jetzt nur noch auf dieses Forum hier beziehen und auch keine Crosspostings mehr tätigen.

Zitat:
Zitat von litterauspirna Beitrag anzeigen
Darf ich dich aber auch mal fragen was dir hier an den Antworten nicht gepasst hat?
Welche Antwort hat mir denn nicht gepasst?
Mit Zitat antworten
  #24 (permalink)  
Alt 11-05-2009, 15:29
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

@Cheadle: Welche "Rückschlüsse" kannst du aus dem Vorhandensein eines Session Cookie ziehen?
Mit Zitat antworten
  #25 (permalink)  
Alt 11-05-2009, 15:33
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Wurde schon geschrieben: (Im Normalfall) wo und wann jemand gewesen ist.
Mit Zitat antworten
  #26 (permalink)  
Alt 11-05-2009, 15:36
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Ein letztes Mal zum absurden Vorhaben: "SessionCookie löschen"

1. Wie kommst du überhaupt auf die aberwitzige Idee, dass jemand deinen LogoutButton drückt?
2. Nach dem Logout gibts bei dir eine Weiterleitung zu formular.php. Und schwups, hasste ein neues SessionCookie! Was ist an dem neuen Cookie Datenschutztechnisch weniger bedenklich?
__________________
Wir werden alle sterben
Mit Zitat antworten
  #27 (permalink)  
Alt 11-05-2009, 15:47
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von combie Beitrag anzeigen
Ein letztes Mal zum absurden Vorhaben: "SessionCookie löschen"

1. Wie kommst du überhaupt auf die aberwitzige Idee, dass jemand deinen LogoutButton drückt?
2. Nach dem Logout gibts bei dir eine Weiterleitung zu formular.php. Und schwups, hasste ein neues SessionCookie! Was ist an dem neuen Cookie Datenschutztechnisch weniger bedenklich?
Leute...

1. Das ist kein Argument. Es gibt mehr als genug Beispiele, wo die User sehr bewusst auf Logout klicken. Also tue ich ihnen den Gefallen und entferne auch gleich meine Cookies.
2. Cheadle != Threadersteller. Bei mir gäbe es diese Weiterleitung nicht.
Mit Zitat antworten
  #28 (permalink)  
Alt 11-05-2009, 16:02
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Wie löschst du denn den Session Cookie? Du teilst dem Browser mit, er wäre abgelaufen. Der Browser wird ihn also irgendwann abräumen. Damit hast du alles getan, was in deiner Macht steht. Das ist auch gut so, ehrlich.

Aber sag mal, wie prüfst du denn, ob ein User eingeloggt ist? Du machst session_start() und dann schaust du in $_SESSION nach, richtig? Das machst du bestimmt auch auf der Startseite so. Und zack, hat jeder der deine Site betritt einen Session Cookie, auch ohne sich ein- oder auszuloggen.

Um konsequent zu sein, musst du also für alle anonymen User bei jedem Request, bei dem ein session_start() stattfindet gleich wieder mit setcookie() hinterrennen. Hand aufs Herz, machst du das wirklich?
Mit Zitat antworten
  #29 (permalink)  
Alt 11-05-2009, 16:33
Cheadle
 Registrierter Benutzer
Links : Onlinestatus : Cheadle ist offline
Registriert seit: Feb 2008
Beiträge: 29
Cheadle ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von onemorenerd Beitrag anzeigen
Aber sag mal, wie prüfst du denn, ob ein User eingeloggt ist? Du machst session_start() und dann schaust du in $_SESSION nach, richtig? Das machst du bestimmt auch auf der Startseite so. Und zack, hat jeder der deine Site betritt einen Session Cookie, auch ohne sich ein- oder auszuloggen.

Um konsequent zu sein, musst du also für alle anonymen User bei jedem Request, bei dem ein session_start() stattfindet gleich wieder mit setcookie() hinterrennen. Hand aufs Herz, machst du das wirklich?
Nein, aber ich verwende auch nur selten die PHP-Funktionen...

Falls doch, wird der User zu einer Seite weitergeleitet, auf der der Logout bestätigt wird. Hier wird kein Cookie mehr gesetzt. Alles weitere bleibt dem User überlassen.
Mit Zitat antworten
  #30 (permalink)  
Alt 11-05-2009, 17:05
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von asp2php Beitrag anzeigen
... mysql_escape_string hier anzuwenden ist überflüssig, die md5 Funktion verändert den Inputstring dermaßen schon, dass eine Gefahr nicht mehr besteht.
SELFHTML Forumsarchiv / 2009 / Mai / mysql_real_escape_string und md5 (PHP)
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 17:44 Uhr.