Tweet
hi!
hab mir jetzt mal die meisten autologin threads hier im forum durchgelesen. die rede ist meist davon, den usernamen und einen md5 hash des passwortes in einem cookie zu speichern und dieses dann beim seitenaufruf mit den einträgen in der datenbank zu vergleichen.
macht das einen bruteforce ansatz nicht noch einfacher, wenn man das cookie in die hände kriegt? momentan sperr ich einen account für 10 minuten, wenn 5 mal ein falsches passwort eingegeben wurde um eben diesen bruteforce methoden vorzubeugen.
gibts noch andere ansätze? evt. einen hash der letzten session id, die ich im moment als anhaltspunkt nehme, ob ein user eingeloggt ist, oder nicht: session id vorhanden: user ist eingeloggt, oder hat sich nicht sauber ausgeloggt. session id nicht vorhanden, user ist definitiv ausgeloggt.
falls ein user den browser nur schließt ohne sich auszuloggen, bleibt die session id in der db gespeichert. wenn sich ein user einloggt, wird die session id in die db geschrieben und kann gleichzeitig auch ins cookie als md5 hash geschrieben werden.
beim login würde dann nach der gespeicherten session id gesucht werden. wird sie gefunden, wird die gespeicherte session id durch die aktuelle ersetzt und der user ist eingeloggt.
wäre das ein brauchbares ansatz für die praxis? wie könnte man verhindern, dass ein user nicht einfach das cookie eines anderen nimmt, es in sein eigenes verzeichnis kopiert und sich damit einlogt?
hab mir jetzt mal die meisten autologin threads hier im forum durchgelesen. die rede ist meist davon, den usernamen und einen md5 hash des passwortes in einem cookie zu speichern und dieses dann beim seitenaufruf mit den einträgen in der datenbank zu vergleichen.
macht das einen bruteforce ansatz nicht noch einfacher, wenn man das cookie in die hände kriegt? momentan sperr ich einen account für 10 minuten, wenn 5 mal ein falsches passwort eingegeben wurde um eben diesen bruteforce methoden vorzubeugen.
gibts noch andere ansätze? evt. einen hash der letzten session id, die ich im moment als anhaltspunkt nehme, ob ein user eingeloggt ist, oder nicht: session id vorhanden: user ist eingeloggt, oder hat sich nicht sauber ausgeloggt. session id nicht vorhanden, user ist definitiv ausgeloggt.
falls ein user den browser nur schließt ohne sich auszuloggen, bleibt die session id in der db gespeichert. wenn sich ein user einloggt, wird die session id in die db geschrieben und kann gleichzeitig auch ins cookie als md5 hash geschrieben werden.
beim login würde dann nach der gespeicherten session id gesucht werden. wird sie gefunden, wird die gespeicherte session id durch die aktuelle ersetzt und der user ist eingeloggt.
wäre das ein brauchbares ansatz für die praxis? wie könnte man verhindern, dass ein user nicht einfach das cookie eines anderen nimmt, es in sein eigenes verzeichnis kopiert und sich damit einlogt?
Kommentar