Sicherheit

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sicherheit

    Angenommen ihr baut ein Script wo mal so locker ein paar Tausend Kunden ihren eigenen Bereich drinnen haben und über das System so ziemlich viele Server Einstellungen machbar sind.

    Welche Variante würdet ihr wählen:
    Cookie
    Session
    oder doch was anderes?

    Ich würde gerne wissen, was wirklich sicherer ist.
    Sunshine CMS
    BannerAdManagement
    Borlabs - because we make IT easier
    Formulargenerator [color=red]Neu![/color]
    Herkunftsstatistik [color=red]Neu![/color]

  • #2
    SSL / VPN
    session-id nach möglichkeit per cookie
    keine persistenten cookies zum speichern der logondaten
    beim tatsächlichen speichern der einstellungen nochmal das passwort abfragen

    was willst du denn machen?
    Ich denke, also bin ich. - Einige sind trotzdem...

    Kommentar


    • #3
      session+cookie+ip kombination wäre perfekt, aber nicht umsetzbar.

      Session ist natürlich möglich, cookie nur für Leut die diese aktiviert haben (könnte man ja noch vorraussetzen), aber bei der ip gibts richtig probleme. AOL user würdest du durch eine IP Kontrolle vollends auschließen, da die ihre andauernd ändern. Auch Anonymsurfer die auf dieverse Programme zurückgreifen haben das selbe problem.

      Also Session + Cookie wäre ok
      Mit ip wärs super sicher, aber nicht mehr umsetzbar.

      MfG Bo

      Kommentar


      • #4
        also ich baue gerade ein system für etwa 4k registrierte user und mindestens 100k hits pro monat, ich setze auf Session, Cookie optional, login immer manuell, also kein dauerhafter login wie in einem forum

        ip sperre wegen AOL usern nicht...

        ansonsten halt sauber coden, auf injections achten usw


        An mich bitte keine unaufgeforderten E-Mails senden (ausser ihr seid bereit geld zu zahlen, dann gerne )

        Kommentar


        • #5
          Original geschrieben von TheBo
          AOL user würdest du durch eine IP Kontrolle vollends auschließen, da die ihre andauernd ändern.
          das stimmt nicht! die IP wird nicht geändert. das sagen zwar viele aber du kannst ja mal AOL Mitarbeiter befragen.
          Sunshine CMS
          BannerAdManagement
          Borlabs - because we make IT easier
          Formulargenerator [color=red]Neu![/color]
          Herkunftsstatistik [color=red]Neu![/color]

          Kommentar


          • #6
            mir wollte ein kompetenter AOL mitarbeiter auch versichern, dass ich deren zugangssoftware auch auf meiner router/switch-kombo installieren könne.
            das ist so ein kleines schnuckeliges dingen vielen anschlüssen, ner menge elektronik und natürlich auch mit festplatte und windows, damit ich die aol-software auch nutzen kann...
            kaffe kochen und bier holen kann das dingen auch, aber nur, wenn ich nicht so viele fenster auf hab, sonst gibt's durchzug, das bier fällt um und ich müsste die aol-software neu installieren, weil sie auf der festplatte klebt und nicht mehr in den speicher geladen werden kann...


            insofern bin ich geneigt davon auszugehen, dass dein AOLer keine ahnung hatte (oder dich für dumm verkaufen wollte) und AOL statt dessen immernoch per round robin die IPs wechselt
            http://www.php-resource.de/forum/sho...threadid=16516
            Ich denke, also bin ich. - Einige sind trotzdem...

            Kommentar


            • #7
              ja klar, benny hat recht,, die IP der AOL user ändert sich nicht dauernd


              ABER (ja jetzt kommts) : es ist ja so, dass aol ein system hat, damit die seiten "schneller" geladen werden, also benutzt aol einen proxy, so dass die seite nicht vom original geholt wird sondern vom proxy

              und welchen proxy man gerade hat, dass wird ja voll dynamisch geändert, so dass man u.U. jedesmal nen anderen Proxy hat, der zwar die Daten original vom server holt, aber die ip des proxy is dann untershiedlich

              so jedenfalls hab ich die Erklärung paar mal gehört und gelesen...


              An mich bitte keine unaufgeforderten E-Mails senden (ausser ihr seid bereit geld zu zahlen, dann gerne )

              Kommentar


              • #8
                Original geschrieben von MaxP0W3R
                so jedenfalls hab ich die Erklärung paar mal gehört und gelesen...
                Ja ... und das ist schon seit Jahren so ... und jeder ärgert sich darüber ... !
                carpe noctem

                [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                Kommentar


                • #9
                  und nichts anderes steht in dem link von mir, insofern: vielen dank für die bestätigung
                  Ich denke, also bin ich. - Einige sind trotzdem...

                  Kommentar


                  • #10
                    sollte ich auf Sessions mit einem Timeout nach 60 minuten setzen + SSL + IP Abfrage, oder eher auf Cookie mit einem Timeout nach 60 minuten + SSL + IP Abfrage?
                    Sunshine CMS
                    BannerAdManagement
                    Borlabs - because we make IT easier
                    Formulargenerator [color=red]Neu![/color]
                    Herkunftsstatistik [color=red]Neu![/color]

                    Kommentar


                    • #11
                      ich würd die ip-abfrage weglassen

                      was meinst du mit session und was mit cookie?
                      wo ist da für dich der unterschied?

                      meinst du cookie ohne session?
                      meinst du session und übermittlung der session-id per cookie?
                      meinst du session und übermittlung der session-id per GET bzw. POST?
                      Ich denke, also bin ich. - Einige sind trotzdem...

                      Kommentar


                      • #12
                        ich hatte jetzt Cookie(ohne Session) und Session per GET gemeint.

                        wenn ich die IP-Abfrage weglasse, ists wieder ein sicherheitsloch. und wenn jemand die session ID snifft, kann er per GET sich ja leider einloggen
                        Sunshine CMS
                        BannerAdManagement
                        Borlabs - because we make IT easier
                        Formulargenerator [color=red]Neu![/color]
                        Herkunftsstatistik [color=red]Neu![/color]

                        Kommentar


                        • #13
                          und in dem cookie ohne session speicherst du was?

                          wie würde deine ip sperre denn ablaufen? die proxyserver in meiner firma schicken kein FORWARDED_FOR mit, wenn dann zwei kunden, die hinter dem gleichen proxy hängen die gleiche IP haben, verkraftet dein system das?
                          Ich denke, also bin ich. - Einige sind trotzdem...

                          Kommentar


                          • #14
                            Original geschrieben von mrhappiness
                            und in dem cookie ohne session speicherst du was?

                            wie würde deine ip sperre denn ablaufen? die proxyserver in meiner firma schicken kein FORWARDED_FOR mit, wenn dann zwei kunden, die hinter dem gleichen proxy hängen die gleiche IP haben, verkraftet dein system das?
                            wenn beide jeweils unterschiedliche Accounts haben, dann ja. ansonsten -> nein. ein user pro account nur.
                            Sunshine CMS
                            BannerAdManagement
                            Borlabs - because we make IT easier
                            Formulargenerator [color=red]Neu![/color]
                            Herkunftsstatistik [color=red]Neu![/color]

                            Kommentar


                            • #15
                              was machst du denn, wenn sich meine IP ändert?

                              bin ich dann abgemeldet?
                              sperrst du meinen account?
                              machst du gar nichts?


                              und was willst du in dem cookie speichern?
                              Ich denke, also bin ich. - Einige sind trotzdem...

                              Kommentar

                              Lädt...
                              X