Login mit Session --> Automatisches einloggen?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    md5 ist one way. Du kannst also nur den hash mit dem gespeichertem hach vergleichen.
    Möglich ist alles!

    Kommentar


    • #17
      Das heißt, ich darf nicht das Passwort in der DB speichern, sondern muss den gesamten Hash-Schlüssel speichern. Richtig?

      Gibt es eine Möglichkeit, dies anders zu sichern oder erfüllt das dann nicht mehr den Zweck des Sicheren, wenn ich das PW in der DB so drinne stehen habe?

      Kommentar


      • #18
        Nöö wenn du nur den Hash speicherst, dann ist ein user der den browser oder gar das os wechselt wech vom fenster und zwar für immer.

        Kuck mal eine seite zurück:

        Ich speichere mehr Infos im Cookie:

        PHP:

        $cookievalue = $username . '|' . $hash;




        Der Hash-Wert (Prüfsumme) setzt sich folgendermaßen zusammen:

        1. Username
        2. Passwort
        3. Browser des Users ($_SERVER['HTTP_USER_AGENT'])
        4. geheimer String

        und as Ganze ist md5-Verschlüsselt:

        PHP:

        $hash = md5($username.$password.$user_agent.$secret);




        Wenn jetzt ein User erneut komm, zerteile ich den Wert des Cookies wieder in zwei Teile, mache mit dem Klartext-Benutzernamen eine DB-Abfrage des Passwortes, baue mir einen neuen Hash-Wert auf dem Server zusammen und vergeiche diesen dann mit dem Hash-Wert des Cookies.

        Mit dieser Methode ist sichergestellt, dass
        1. der gespeicherte Cookie sicher zu diesem User gehört.
        2. Dass der Cookie ungültig wird, sobald der User sein Passwort ändert.
        3. Dass der Cookie nicht einfach auf einen anderen Rechner übertragen werden kann (zumindest bräuchte man ganz exakt die gleiche Browser/OS-Kombination und müsste ersteinmal wissen, dass das eine Rolle spielt) und
        4. dass niemand ausser dem Server diesen Cookie erzeugt haben kann (niemand sonst kennt ja diesen geheimen String).

        Ich glaube, diese Methode ist einigermaßen sicher.

        Oliver.



        du speichterst also nur das passwort in der db, das allerdings md5($pwd)
        Möglich ist alles!

        Kommentar


        • #19
          so mein cookie wird gesetzt und es ist auch alles drin, aber wie mach ich das jetzt, dass der cookie abgefragt wird und dem user das einloggen ersparrt wird?!?

          Kommentar


          • #20
            *schieb*... hat da jemand nen schnipsel, intressiert mich auch...
            <<<-----newbie na und???

            Kommentar


            • #21
              zb mit einem


              if (Login_info_is_ok || Cookie_verified )
              { register_session(zB) }
              else
              { show login form }
              Möglich ist alles!

              Kommentar

              Lädt...
              X