sichere Session Authentifizierung

Indem Du den Konfigurations-Parameter "session.save_path" auf ein anderes Verzeichnis umbiegst (mit Schreibzugriff für den Webserver) kannst du den Zugriff anderer zumindest erschweren ...

Setzt Du "session.save_handler" auf "user" ... kannst Du einen eigenen Save-Handler mit bool session_set_save_handler ( string open, string close, string read, string write, string destroy, string gc) setzen ... und Die Daten entweder ver-/entschlüsseln ... oder diese z.B. in eine Datenbank speichern ... !

Konfigurations-Parameter setzt man übrigens mit ini_set() ...

zur Zusatzfrage ... Ja ... und dagegen spricht das jeder Benutzer des Client-Systems theoretisch die Cookie-Datei auslesen kann ... da viele Benutzer immer wieder gleiche Kennwort verwenden kann das ärgerlich sein ... besser wäre es eine generierte ID im Cookie und in der DB (mit BenutzerID) zu speichern und auf diesem Wege ein Relogin durchzuführen ... !

ich gehe beim programmieren immer davon aus, keinen zugriff auf die serverconfiguration zu haben.

das erzeugt meist besseren code, als wenn man sich alles einstellen muss.

Ich hab's bereits mehrfach hier erwähnt ... mach was Du willst ... ich habe absolut keine Lust meine Zeit an Trolls und "Klug"-schwätzer zu verwenden ... !

dann poste doch einfach gar nicht.,

der wille zu helfen ist zwar nett, aber so wie du es hier tust einfach nicht von nutzen.
und das basiere ich nicht nur auf diesem thread, sondern auch auf anderen posts von dir.

@rythms: das problem ist nicht, dass hier nicht geholfen wurde, sondern das wie leider immer wieder mal gefragt wird, ein Ansatz kommt und der dann für den Fragesteller nicht der richtige zu sein scheint...

mal nicht auf den Thread bezogen sondern allgemein stelle ich mir manchmal ehrlich gesagt folgende Frage:
Wieso fragen manche leute, wenn sie es dann anscheinend doch besser wissen?

Weils 'ne Dummschwätzende Trollnase ist ... !

Newbie-Frage zu Session in PHP:

bisher kenne ich Session in ASP, d.h. es wird im Cookies beim Client nur die SessionID abgelegt, alles andere bleiben auf dem Server. Wird das nicht bei PHP auch so gehandhabt ? IMHO doch ... (oder nicht )

Ja ... entweder wird die ID in 'nem cookie gespeichert ... oder als Parameter über geben ... ASP(.NET) macht das mit 'nem Unterverzeichnis in geschweiften Klammern ... was ich für unschöner aber effektiver halte ...

was MS macht ist sowieso ein Kapitel für sich

Zurück zu Session:
Dann verstehe ich die Sorge nicht. Die SessionID wird bei jeder Sitzung
neu erstellt, also kann doch egal sein, ob man Temp-Verzeichnis auf dem
lokalen Rechner auslesen kann oder nicht. Übrigens DAS ist auch der
entscheidende Vorteil von Session gegenüber dem reinen Cookies.

Nein ... es geht darum das Dateien die vom Webserver ins /tmp geschrieben werden, von jedem anderen Webserver-Prozess ausgelesen werden können ... schreibt nun jemand ein Script das alle mit sess_ beginnenden Dateien aus dem /tmp Verzeichnis ausliest ... könnte er u.U. nach benutzernamen oder kennworten oder benutzerid's suchen ...

Allerdings hätte er ja auch die Möglichkeit ein Spy-Script zu schreiben das die für den Webserver erreichbare Verzeichnis-Struktur durchsucht ... was man durch eine entsprechende Konfigurations des Webserver zumindest teilweise verhindern kann ...

Ich persönlich halte deshalb nach wie vor den Weg des überschreibens des Sessionhandlers für den besten, weil ich wie bereits erwähnt entweder die Daten vor dem schreiben verschlüsseln kann ... oder diese gleich in einen nicht so leicht erreichbaren Bereich (Datenbank) schreibe ...

... einen sichereren Weg soll der Troll mir mal zeigen ... !

Also ... ich bastel ganz gerne mal mit .NET ... außerdem ist ein bereich in dem man noch ganz gute Stundensätze bekommt ...

Ah ja, ...
die Daten in einer temporäre DB-Tabelle schreiben, finde ich immer noch als sicherstens. Der Nachteil ist ja nur dass es aufwendiger ist.

... und ich lebe davon

Ich unter anderem auch ...

@Mortalan: ich hab lediglich gesagt, dass der ansatz für mich nicht in frage kommt.

der ansatz "mir passt was nicht also änder ich es schlichtweg einfach ab" gefällt mir generell nicht (beim programmieren mit php).

@goth: gelöst ist es jetzt so, dass die klasse ein serialisiertes objekt in der session ablegt.
enthalten in dem objekt sind nur userid, loginstatus und username.

bei einem aufruf der klasse wird als erstes versucht, das objekt aus der session zu serialisieren (falls vorhanden) und die eigenschaften zu übernehmen.
wenn das fehlschlägt wird in den request vars nach logininformationen gesucht.

wenn die variablen gefunden werden, werden sie mit der db verglichen, und der user gegebenenfalls eingeloggt, daraufhin wird das serialisierte objekt in der session abgelegt.

wenn kein login möglich ist, wird ein anonymes objekt in der session abgelegt.


mit dieser lösung vermeide ich es, passwörter für andere zugänglich zu speichern und habe einen sicheren login.

warum man sich wegen abweisen einer vorgeschlagenen methode gleich beschimpfen muss, verstehe ich nicht. vielleicht solltest du, auch wenn du sicherlich schon länger hier, bist deinen umgangston nochmal überdenken.
dennoch, danke für deine mühe und das heraussuchen der funktion.

ein Password würde doch nur wirklich niemand in der Session speichern!!!

Letztlich bleibt folgendes Problem:

Ein User der eine Datei aus auslesen kann auch eine neue Session - Datei erstellen kann ... bzw. eine alte kopieren ...

PS.: Ein Object brauchst Du nicht manuell zu serialisieren ... das geschieht vollkommen automatisch wenn Du ein ein objekt in 'ner Session speicherst ... letztlich ist aber auch das Serialisierungformat kein Buch mit 7 Siegel ... sondern sogar relativ einfach zu lesen ... !

Genaugenommen würde es bereits vollkommen ausreichen sämmtliche SessionID's die ich im /tmp finde mit Deinen Scripten durchzuprobieren ...