Geschützter Memberbereich... [Newbie!!!!!]

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Geschützter Memberbereich... [Newbie!!!!!]

    Hallo Zusammen,

    also ich hab die ganze Nacht nach antworten gesucht daher bin ich etwas müde und möchte mich im vorraus für schreibfehler entschuldigen

    Also ich hab folgendes Problem:

    Ich arbeite gerade an einer Homepage die auch einen geschützten Member-"Bereich" beinhalten soll. Und zwar soll in jeder Seite die allen besuchern (egal ob member oder nicht) zugänglich ist noch ein zusätlicher teil nur für eingeloggte Mitglieder erscheinen.

    Wenn ich das richtig verstanden hab bekomm ich das mit sessions hin, aber wie erreiche ist das ein member sich, wenn er sich nicht ausgeloggt hat, beim nächsten besuch der seite nicht erneut einloggen muss?

    Wäre für jede Hilfe dankbar

  • #2
    wenn das Einloggen dann auch für künftige Sitzungen gültig sein soll, dann kannst du die Login-Daten auch gleich in ein dauerhaftes Cookie schreiben. Und dieses Cookie mußt du überall auslesen, wo so ein "geschützter" Bereich auftauchen kann oder eben nicht.
    Also -> jemand loggt sich ein -> prüfen ob Member -> Cookie schreiben -> bei Bedarf immer prüfen, ob Cookie gesetzt.
    Ist natürlich nicht die sicherste Variante. Aber vielleicht reicht dir das ja schon...

    Kommentar


    • #3
      erstmal ein danke schön

      Original geschrieben von BrainBug
      Ist natürlich nicht die sicherste Variante.
      Bestehen noch andere Sicherheits lücken aus der das ein cookie von einem dritten geklaut werden könnte?

      Kommentar


      • #4
        hmmm

        naja, nicht der Diebstahl, sondern die Manipulation -> kannst du weitgehend durch Verschlüsselung der Cookiedaten ausräumen.
        Dann noch die Frage, was speicherst du im Cookie -> User und Passwort und dann beim Website-Eintritt gleich checken, ob korrekter User -> wenn ja, Session starten und in Sessiondaten speichern, daß User angemeldet ist.
        Und dann natürlich noch die unverschlüsselte Übertragung des Logins als potentielle Gefahr.
        Mehr fällt mir gerade nicht ein, aber ist natürlich alles eine Frage des Aufwands, d.h. wie sehr muß der Bereich wirklich geschützt sein.

        Kommentar


        • #5
          Dann kommt noch hinzu das nicht jeder Sufer Cookies erlaubt!!!!!!
          *winks*
          Gilbert
          ------------------------------------------------
          Hilfe für eine Vielzahl von Problemen!!!
          http://www.1st-rootserver.de/

          Kommentar


          • #6
            hmm,

            schau mal hier =>
            http://www.php-resource.de/tutorials.php
            und hier gibts auchnoch die entsprechenden Files dazu :
            http://www.joelh.de/download/login.zip

            Kommentar


            • #7
              danke euch allen, jetzt hab ich wieder genug Infos um mein hirn mal wieder richtig zu füttern

              MFG

              Memphis8179

              Kommentar


              • #8
                Original geschrieben von Wotan
                Dann kommt noch hinzu das nicht jeder Sufer Cookies erlaubt!!!!!!
                selber Schuld!

                Kommentar


                • #9
                  wieso selber schuld. In einigen Firmennetzen sind sogar Firewall installiert die Cookies überhaupt nicht zulassen, willst du die Aussperren? Es geht auch alles OHNE Cookies.
                  *winks*
                  Gilbert
                  ------------------------------------------------
                  Hilfe für eine Vielzahl von Problemen!!!
                  http://www.1st-rootserver.de/

                  Kommentar


                  • #10
                    Original geschrieben von Wotan
                    Es geht auch alles OHNE Cookies.
                    das ist gelogen. Wie willst du clientseitig dir über längere Zeit Daten merken wenn nicht mit Cookies?

                    Kommentar


                    • #11
                      Es geht doch hier nur um Login oder nicht.
                      siehe Eintrag:
                      http://www.php-resource.de/forum/sho...?threadid=2849

                      Da geht es doch auch ohne Cookies.

                      Können wir das nach Off-Topics verlegen?
                      *winks*
                      Gilbert
                      ------------------------------------------------
                      Hilfe für eine Vielzahl von Problemen!!!
                      http://www.1st-rootserver.de/

                      Kommentar


                      • #12
                        hmm,

                        also das geht nur solange wie du eine Kette von URLs benutzt die ihre Daten per 'get' Methode weitergeben.

                        Ich finde es auch schwachsinnig Cookies aus zu schalten, dies ist keine Lösung, eher sollten sich mal die Browserhersteller um ihre Sicherheitsprobleme kümmern, ich will keine Namen nennen. Aber immer zu sagen schalt die und das ab löst das Problem nicht. Ich meine wenn mein Auto einen Schaden hat dann fahr ich doch auch in die Werkstatt und lass es machen, aber ich kauf mir kein neues und lass das alte ausgeschaltet in der Garage stehen, das ist doch Schwachsinn. Man muss die Krankheit im Kern bekämpfen nicht die Symtome unterdrücken !

                        Kommentar


                        • #13
                          Das ist so wie du(@JoelH) sagst ja richtig, aber wenn du weiß das bestimmte Sachen (Cookies, Java-Applets, javaScript) abgeschaltet sind, dann versuchst du doch auch deine Seite diesen Leuten trotzdem zur Verfügung zustellen, ODER
                          *winks*
                          Gilbert
                          ------------------------------------------------
                          Hilfe für eine Vielzahl von Problemen!!!
                          http://www.1st-rootserver.de/

                          Kommentar


                          • #14
                            hmm,

                            nein.

                            Die Leute verwenden ja auch Flash ohne zu fragen ob man nicht etwa mit Lynx surft.
                            Ich denke man muss einen Kompromiss finden und diesen auch verfolgen. Ich denke man sollte die Sachen verwenden die als 'Standard' anerkannt sind und Sonderformen weg lassen.
                            Ich würde nie irgendwelchen VBS Quatsch etc. verwenden. Das ist nicht Kompatibel, aber Flash ist schon okay oder Cookies, über JS lässt sich jetzt wieder Trefflich streiten, ich bin pro JS weil es Dinge gibt die man anders nicht lösen kann.
                            Und dieser Cookiewahn geht mir echt auch nicht ab, denn es ist oft Schwachsinn was geschrieben steht. Cookies verraten nur das was der Anwender selbst eingibt. Wenn du jeden einzelnnen Cookie per Hand zulässt oder auch ablehnst hast du die volle Kontrolle. Die Kontrolle verliert nur dieser Browsermüll der Sicherheitslücken aufweisst. Wie gesagt, die M$ Jungs sollten schaun das sie ihre Arbeit besser machen und nicht einfach behaupten Cokkies sind Böse und sollte deaktiv sein.

                            Es ist doch bei ActiveX genauso, zuerst als superinnovativ gepriesen, aber der grösste Sicherheitsbug seit es Inet gibt. Also ehrlich.

                            Kommentar


                            • #15
                              Denn stimme ich zu, aber es geht halt auch anders. Wenn ich mit Datenbanken arbeite kann ich einiges in die Datenbank schreiben und muß das nicht als Cookie speichern. Gut mir geht der bezug zum User verloren, aber das kann ich um gehen wenn ich mit Logins arbeiten. Im Bezug auf ActivX und JavaScript, ich benutze auch JavaScripte obwohl ich weiß das bei einer kleinen Zahl von Usern JavaScript deaktiviert wurde. Doch ich weise darauf hin das diese Internetseite JavaScript benötigt um sie anzusehen.

                              Aber wir wollen hier keine Grundsatzdiskusion lostretten. Mein Eintrag ging eigentlich dahin, das Mann oder Frau das auch per Datenbank machen kann. Was mir sinnvoller erscheint als mit Cookies.
                              *winks*
                              Gilbert
                              ------------------------------------------------
                              Hilfe für eine Vielzahl von Problemen!!!
                              http://www.1st-rootserver.de/

                              Kommentar

                              Lädt...
                              X