php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 30-08-2009, 03:39
bobafett
 Registrierter Benutzer
Links : Onlinestatus : bobafett ist offline
Registriert seit: Aug 2009
Beiträge: 8
bobafett befindet sich auf einem aufstrebenden Ast
Standard Verständnissfrage zu einem sicheren PHP-Login

Halle alle zusammen,

ich bin seit einigen Tagen dabei meine Web-Applikationen auf Fehler, Probleme und Sicherheitslücken zu prüfen und entsprechend zu fixen/anzupassen.

Vorgestern war der Login-Prozess an der Reihe. Diesen würde ich gerne insofern weiter ausbauen, als dass ich den eingeloggten Benutzer an seine IP binden möchte. Aktuell gibt es für jeden Benutzer ein Sitzungslimit von 30 Minuten. Sollte also der Benutzer an eine IP gebunden, und zufällig kurz nach dem einloggen von seinem Provider eine neue IP zugewiesen bekommen, würde er für die restliche Zeit sich nicht mehr einloggen können.

Aus diesem Grunde würde ich das ganze eher auf einen Adressbereich beschränken, was im falle vom obigen Beispiel dann kein Problem mehr sein sollte. Das dann auch weitere Logins aus dem selben Adressbereich für den Benutzer möglich sind muss man wohl in Kauf nehmen.

Nun allerdings zu meiner eigentlichen Frage: Wie kann ich das ganze mit dem IP Adressbereich am besten umsetzen? Soweit ich mich informiert habe, besitzen einige Provider mehrere verschiedene Adressbereiche. Arcor z. B. hat die 88.x, 134.x, 138.x. reserviert. Habt ihr etwas ähnliches, oder genau DAS schon einmal umgesetzt, und wenn Ja .. wie?! Bevor ich mir hier das Teil hier parse und in meine Datenbank einpflege (ftp://ftp.ripe.net/ripe/stats/membership/alloclist.txt) um zu prüfen welche Adressbereiche erlaubt sind, würde ich mich über ein paar Antworten zu dieser Problematik sehr freuen




cheers

Geändert von bobafett (30-08-2009 um 03:44 Uhr)
Mit Zitat antworten
  #2 (permalink)  
Alt 30-08-2009, 10:47
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.595
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Was ist, wenn der Benutzer zwei unterschiedliche Provider verwendet?
Mit Zitat antworten
  #3 (permalink)  
Alt 30-08-2009, 11:01
bobafett
 Registrierter Benutzer
Links : Onlinestatus : bobafett ist offline
Registriert seit: Aug 2009
Beiträge: 8
bobafett befindet sich auf einem aufstrebenden Ast
Standard

Darüber habe ich mir natürlich auch Gedanken gemacht.
In diesem Fall hat der Benutzer dann Pech

Da es dem Benutzer aber selbst obliegt seine Sitzung an einen Adressbereich zu binden (das ganze versteht sich optional!), ist er sich dieser Sache wohl bewusst wenn er sich dann mal nebenbei vom Netbook oder iPhone etc. nicht einloggen kann.



cheers

Geändert von bobafett (30-08-2009 um 11:03 Uhr)
Mit Zitat antworten
  #4 (permalink)  
Alt 30-08-2009, 11:33
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Ein echter (DA)User denkt sich:
Zitat:
Schei** Seite. Tuts schon wieder nicht.
Und Tschüss....
Vergiss die IP !
__________________
Wir werden alle sterben
Mit Zitat antworten
  #5 (permalink)  
Alt 30-08-2009, 13:37
bobafett
 Registrierter Benutzer
Links : Onlinestatus : bobafett ist offline
Registriert seit: Aug 2009
Beiträge: 8
bobafett befindet sich auf einem aufstrebenden Ast
Standard

Ich denke das warum spielt hier keine Rolle, da ich es auf jeden Fall implementieren werde. Demnach wären Hilfreiche Lösungsvorschläge doch angebrachter als das bisherige.

Vielen Dank.


cheers
Mit Zitat antworten
  #6 (permalink)  
Alt 30-08-2009, 15:45
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Hm, die übliche Lösung für das Problem sind doch Session-Cookies, oder? Funktionieren Providerübergreifend.

Ansonsten wirst du nicht drumrumkommen, die IPs deiner Besucher auf ihren RIPE-Record abzuklopfen und wenn es noch derselbe ist, die Session zuzulassen. Ich kann mir aber Fälle vorstellen, in denen das zu falschen Ergebnissen führt, etwa bei Reseller-Providern, die IPs von einem Großhändler "mieten".
Und wahnsinnig gefährlich ist es ohnehin: Wenn Du damit Sessions fortsetzen willst, ohne eine Passwortabfrage zwischenzuschieben, schaffst Du eine riesige, komplizierte Sicherheitslücke, Optional hin oder her.
Mit Zitat antworten
  #7 (permalink)  
Alt 30-08-2009, 16:00
bobafett
 Registrierter Benutzer
Links : Onlinestatus : bobafett ist offline
Registriert seit: Aug 2009
Beiträge: 8
bobafett befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von pekka Beitrag anzeigen
Und wahnsinnig gefährlich ist es ohnehin: Wenn Du damit Sessions fortsetzen willst, ohne eine Passwortabfrage zwischenzuschieben, schaffst Du eine riesige, komplizierte Sicherheitslücke, Optional hin oder her.
Da hast du vollkommen Recht, zum Glück mache ich das ja auch nicht
Mit Zitat antworten
  #8 (permalink)  
Alt 30-08-2009, 16:14
Kropff
  Administrator
Links : Onlinestatus : Kropff ist offline
Registriert seit: Mar 2002
Ort: Köln
Beiträge: 11.722
Kropff befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von bobafett Beitrag anzeigen
Ich denke das warum spielt hier keine Rolle, da ich es auf jeden Fall implementieren werde. Demnach wären Hilfreiche Lösungsvorschläge doch angebrachter als das bisherige.
So einfach solltest du dir das nicht machen. Es gibt tatsächlich Provider, die bei einem User ständig die IP ändern. AOL macht das zum Beispiel etwa alle 30 Sekunden und noch irgendeiner, der aus Schweden kommt. Mir zerhauts bei solchen Usern regelmäßig die Zugriffsstatisitik, da die auch IP-basiert ist. Insofern halte ich das für keine gute Idee. Aber mit Begründung .

Peter
__________________
Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
Meine Seite
Mit Zitat antworten
  #9 (permalink)  
Alt 30-08-2009, 16:20
bobafett
 Registrierter Benutzer
Links : Onlinestatus : bobafett ist offline
Registriert seit: Aug 2009
Beiträge: 8
bobafett befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von Kropff Beitrag anzeigen
Es gibt tatsächlich Provider, die bei einem User ständig die IP ändern
Solange sich die jeweils neue IP im gleichen Adressbereich befindet sollte es da keine Probleme geben. Daher ja auch meine Frage wie man dies am besten umsetzen kann. Wenn sich keine vernünftige Lösung finden kann, wird es natürlich auch nicht implementiert .. ich versuche es allerdings umzusetzen :-)

Wie gesagt .. es obliegt ja dem Benutzer selbst dieses feature zu nutzen, demnach sehe ich da auch keinerlei Probleme. Es wird ja niemand genötigt das auch zu nutzen!

cheers

Geändert von bobafett (30-08-2009 um 16:23 Uhr)
Mit Zitat antworten
  #10 (permalink)  
Alt 30-08-2009, 16:34
Kropff
  Administrator
Links : Onlinestatus : Kropff ist offline
Registriert seit: Mar 2002
Ort: Köln
Beiträge: 11.722
Kropff befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von bobafett Beitrag anzeigen
Solange sich die jeweils neue IP im gleichen Adressbereich befindet sollte es da keine Probleme geben.
Ups, das habe ich übersehen. Allerdings ändert sich imho die Liste permanent. Du müsstet also die Datei (wenn sie denn überhaupt immer aktuell ist) eigentlich täglich parsen. Außerdem verstehe ich nicht, wieso das ein Mehr an Sicherheit bedeutet?

Peter
__________________
Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
Meine Seite
Mit Zitat antworten
  #11 (permalink)  
Alt 30-08-2009, 17:02
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Ich konnte in der Liste kein "77.179" finden (meine aktuelle IP). Ich bin bei 1und1 und mein Pool gehört zu mediaways.net. Evtl. ist die Liste nicht vollständig oder nicht aktuell.

Gruß,

Anja
Mit Zitat antworten
  #12 (permalink)  
Alt 30-08-2009, 17:38
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von AmicaNoctis Beitrag anzeigen
Ich konnte in der Liste kein "77.179" finden (meine aktuelle IP). Ich bin bei 1und1 und mein Pool gehört zu mediaways.net. Evtl. ist die Liste nicht vollständig oder nicht aktuell.
Doch, ist in der Liste:
Code:
de.mediaways
    Telefonica Deutschland GmbH 
...
    20061117	77.176/12	ALLOCATED PA
...
Ich erkläre aber besser kurz, wieso hier die 77.179 bei ist. Eine IP besteht aus 4 Bytes, zwischen jedem wird in der Dottedform ein Punkt gesetzt. 77.179 sind also 2 Bytes. Die Ziffer hinter dem Slash in dem Adressbereich 77.176/12 beschreibt, wieviele Bits fest sind, d.h. den eigentlichen Bereich adressieren. Hier sind dies 12 Bits, d.h. das erste Byte und die 4 obersten Bits des Folgebits.
Wie sieht unsere Adresse in Bits aus?
Code:
77.176 <=> 1001101.10110000
Dabei sind nur die ersten 12 Bits für die Bereichsadressierung nötig. Wie sieht deine IP aus?
Code:
77.179 <=> 1001101.10110011
So, und wie du siehst, liegt deine IP sehrwohl innerhalb des allozierten Adressbereichs
Mit Zitat antworten
  #13 (permalink)  
Alt 30-08-2009, 17:43
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Was genau versprichst du dir denn davon? Vor was willst du dich oder deine User schützen?
Mit Zitat antworten
  #14 (permalink)  
Alt 30-08-2009, 18:19
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Sorry, alles klar, hatte vergessen, dass es ja auch "unrunde" Subnet Masken gibt *schäm*
Mit Zitat antworten
  #15 (permalink)  
Alt 30-08-2009, 20:10
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Das ganze optional anbieten, schön und gut - macht heise.de in seinem Forum bspw. auch so. Allerdings auf genau die aktuelle IP beschränkt.
Wer das Feature nutzt, sollte wissen, was er tut.

Es auf ganze IP-Bereiche auszudehnen, da halte ich aber nichts von. Die Wahrscheinlichkeit, dass ich und der, der sich in meinen Account "reinhacken" möchte (in dem er bspw. meinen Session-Cookie entführt oder was auch immer), uns beide innerhalb von einem solchen befinden, ist in der deutschen Providerlandschaft eh schon ziemlich hoch. (Wie hoch, käme jetzt darauf an, wie weit man "IP-Bereich" fasst.)
Und wenn ihm wirklich was an meinen Daten/meinem Account liegt - dann "verschafft" er sich halt eine IP aus dem gleichen Bereich. Wie dein System diesbezüglich arbeitet, dass weiss er ja entweder schon aus deiner Beschreibung, mit der du dem Nutzer dieses optionale Feature anbietest, oder er findet's über einen Testaccount selber raus.

Wenn du wirklich IP-Bereiche zulässt, gaukelt das System also m.E. eine Zusatzsicherheit vor, die im Zweifelsfalle gar nicht gegeben ist. Und das ist etwas, was man tunlichst unterlassen sollte.
Also entweder auf eine IP beschränken (dann ist es nur was für Nutzer, deren Zugang entsprechende Voraussetzungen mitbringt, wie bspw. IP gleichbleibend über einen "längeren" Zeitraum) - oder ganz bleiben lassen ... meine Meinung.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Allgemein zu einem Login-Bereich enjoey BRAINSTORMING PHP/SQL/HTML/JS/CSS 8 21-03-2008 16:17
Loginformular für einen sicheren Login emulieren MikeZ HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS 1 11-04-2007 18:10
Verständnissfrage Kisi PHP Developer Forum 3 18-04-2006 13:45
Verständnissfrage: kebxm SQL / Datenbanken 1 02-03-2006 14:39
Verständnissfrage zu CSS DarkWanderer HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS 10 02-06-2003 12:09

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 00:13 Uhr.