Tweet
Hi,
ich muss mal ein wenig ausholen, um mein Problem zu beschreiben, aber ich hoffe ihr lest es trotzdem durch.
Ich spiele ein Browsergame, und da gibt es Allianzen. Jeder Allianz hat ein Forum und oft ein Tool, mit dem verschiedene Sachen wie Forschungsbonus und alles was man in so einem Spiel halt so hat, berechnen, speichern usw kann.
Nun hat hier ein Regelrechter Informationskrieg begonnen.
Die meisten Allianzen verwenden das phpBB oder wbb2 Forum, und viele haben Hacks installiert, mit denen die Passwörter gespeichert werden, bevor sie als md5() codiert in der DB landen.
Da das viele User nicht wissen (nicht mal ahnen), benutzen doch recht viele ein Passwort für alle Foren.
Wenn jetzt ein Spieler der Allianz B ins Forum Allianz A geht und dort das selbe Passwort verwendet wir in seiner eigenen Allianz, kann Allianz A in Allianz B mitlesen, und z.B. Kriegsvorbereitungen und sonstige wichtige Informaationen mitlesen, ohne dass das jmd. mitbekommt.
Nun zum eigentlichen Thema :
Es geht darum, einen User eindeutig zu authentifizieren.
Wie kann man es schaffen, dass ein User z.B. sich nur einmal einloggen kann ?
Ich habe verschiedene Ideen, aber hoffentlich fallen euch mehr und vor allem bessere Möglichkeiten ein.
1. Möglichkeit : Spieler A bekommt ein Passwort, darf sich einloggen, Cookie wird gesetzt, PW wird geändert, User kann sich nur nochmal neu einloggen wenn er das neue PW anfordert.
Vorteil: er kann z.B. für daheim UND fürs Büro einen Zugang bekommen.
Nachteil: Cookies müssen aktiviert sein, er ist immer eingeloggt (kann nicht bei fremden leuten einloggen)
2. Möglichkeit:
Es werden wieder Cookies benutzt, man stellt das Cookie setzen manuell ab, d.h. wenn mansich neu einloggen will, muss der Admin Cookie setzen kurz aktivieren, User loggt ein, danach werden keien Cookies mehr gesetzt, d.h. kein Login möglich.
Nachteil ist wieder Cookie Kontrolle.
Solche spielereien wie Häufige IP-Änderungen per E-Mail Warnung anzeigen usw haben wir schon implementiert (wbb2 board)
Was fällt euch noch so ein ?
cya max
ich muss mal ein wenig ausholen, um mein Problem zu beschreiben, aber ich hoffe ihr lest es trotzdem durch.
Ich spiele ein Browsergame, und da gibt es Allianzen. Jeder Allianz hat ein Forum und oft ein Tool, mit dem verschiedene Sachen wie Forschungsbonus und alles was man in so einem Spiel halt so hat, berechnen, speichern usw kann.
Nun hat hier ein Regelrechter Informationskrieg begonnen.
Die meisten Allianzen verwenden das phpBB oder wbb2 Forum, und viele haben Hacks installiert, mit denen die Passwörter gespeichert werden, bevor sie als md5() codiert in der DB landen.
Da das viele User nicht wissen (nicht mal ahnen), benutzen doch recht viele ein Passwort für alle Foren.
Wenn jetzt ein Spieler der Allianz B ins Forum Allianz A geht und dort das selbe Passwort verwendet wir in seiner eigenen Allianz, kann Allianz A in Allianz B mitlesen, und z.B. Kriegsvorbereitungen und sonstige wichtige Informaationen mitlesen, ohne dass das jmd. mitbekommt.
Nun zum eigentlichen Thema :
Es geht darum, einen User eindeutig zu authentifizieren.
Wie kann man es schaffen, dass ein User z.B. sich nur einmal einloggen kann ?
Ich habe verschiedene Ideen, aber hoffentlich fallen euch mehr und vor allem bessere Möglichkeiten ein.
1. Möglichkeit : Spieler A bekommt ein Passwort, darf sich einloggen, Cookie wird gesetzt, PW wird geändert, User kann sich nur nochmal neu einloggen wenn er das neue PW anfordert.
Vorteil: er kann z.B. für daheim UND fürs Büro einen Zugang bekommen.
Nachteil: Cookies müssen aktiviert sein, er ist immer eingeloggt (kann nicht bei fremden leuten einloggen)
2. Möglichkeit:
Es werden wieder Cookies benutzt, man stellt das Cookie setzen manuell ab, d.h. wenn mansich neu einloggen will, muss der Admin Cookie setzen kurz aktivieren, User loggt ein, danach werden keien Cookies mehr gesetzt, d.h. kein Login möglich.
Nachteil ist wieder Cookie Kontrolle.
Solche spielereien wie Häufige IP-Änderungen per E-Mail Warnung anzeigen usw haben wir schon implementiert (wbb2 board)
Was fällt euch noch so ein ?
cya max
)
Kommentar