Tweet
Ich bin mir darüber bewusst, dass es schon mehrere Threads dieser Art gibts. Aber es wurde noch nie genau mein Problem behandelt 
Ich bin gerade dabei ein Login-Script zu basteln. Eigentlich nicht so schwer, aber ich habe z.Z. nen kleines Verständnissproblem. Vielleicht könnt ihr mir ja helfen.
Ich brauche hier keinen Quellcode, ich will nur das Konzept verstehen, bin wohl zu dumm mir das selbst zu überlegen. DANKE
LOGIN-Script anforderungen:
- Auto-Login per dauerhaften Cookie
- Session starten, wenn sich der user per Login oder per Dauerhaft-Cookie ausweisen konnte.
Also mein Denkansatz:
FALL 1:
Ein User kommt auf eine Seite die Berechtigungen erfordert. Nun wird überprüft ob sich der User ausweisen kann. Wenn eine Session besteht wird diese weitergeführt. KEIN PROBLEM!
FALL 2:
Wenn der user keine laufende Session hat, aber nen Auto-Login Cookie (Dauerhaft) hat wird das MD5 PW + ID ausgelesen und in einer Session gespeichert, dann wird erneut versucht die Site zu laden. Session ID wird per cookie übergeben (2. cookie)?
FALL 3:
Der User will auf die Admin-Seite, hat aber keine Session am laufen und keinen Dauerhaften cookie. Also gibts ne weiterleitung auf die login.html!
Soweit so gut. Nun meine Frage: Ich möchte die SessionID nicht in der URL speichern, sondern per Cookie. Brauche ich 2 Cookies? Einen Dauerhaften und einen wo nur die Session gespeichert wird oder gibt es auch andere Möglichkeiten?
Ist die Idee gut oder gibt es bessere Möglichkeiten?
Vielleicht hab ich auch einfach nur ein bisschen zuviel gecoded und bin gerade bisserl verwirrt. Trotzdem schonmal danke für eure antworten!
Besteht ein Sicherheitsrisiko, wenn der User den SessionCookie (incl pw und id) über den schon vorhandenen dauerhaften Cookie generiert?
Ich bin gerade dabei ein Login-Script zu basteln. Eigentlich nicht so schwer, aber ich habe z.Z. nen kleines Verständnissproblem. Vielleicht könnt ihr mir ja helfen.
Ich brauche hier keinen Quellcode, ich will nur das Konzept verstehen, bin wohl zu dumm mir das selbst zu überlegen. DANKE
LOGIN-Script anforderungen:
- Auto-Login per dauerhaften Cookie
- Session starten, wenn sich der user per Login oder per Dauerhaft-Cookie ausweisen konnte.
Also mein Denkansatz:
FALL 1:
Ein User kommt auf eine Seite die Berechtigungen erfordert. Nun wird überprüft ob sich der User ausweisen kann. Wenn eine Session besteht wird diese weitergeführt. KEIN PROBLEM!
FALL 2:
Wenn der user keine laufende Session hat, aber nen Auto-Login Cookie (Dauerhaft) hat wird das MD5 PW + ID ausgelesen und in einer Session gespeichert, dann wird erneut versucht die Site zu laden. Session ID wird per cookie übergeben (2. cookie)?
FALL 3:
Der User will auf die Admin-Seite, hat aber keine Session am laufen und keinen Dauerhaften cookie. Also gibts ne weiterleitung auf die login.html!
Soweit so gut. Nun meine Frage: Ich möchte die SessionID nicht in der URL speichern, sondern per Cookie. Brauche ich 2 Cookies? Einen Dauerhaften und einen wo nur die Session gespeichert wird oder gibt es auch andere Möglichkeiten?
Ist die Idee gut oder gibt es bessere Möglichkeiten?
Vielleicht hab ich auch einfach nur ein bisschen zuviel gecoded und bin gerade bisserl verwirrt. Trotzdem schonmal danke für eure antworten!
Besteht ein Sicherheitsrisiko, wenn der User den SessionCookie (incl pw und id) über den schon vorhandenen dauerhaften Cookie generiert?
Kommentar