Sicherheit beim Login

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Sicherheit beim Login

    Hallo

    Habe mal eine Frage zur Sicherheit nach dem Login.
    Ich frage Username und PW ab, gleiche das mit den Einträgen einer DB ab und wenn beides stimmt setze ich $_SESSION[user][login] = yes
    Reicht es nun, wenn ich immer wieder abfrage ob $_SESSION[user][login] = yes ist oder ist das sehr unsicher?

    Grüße

    Tobias
    Wenn die Sonne der Kultur niedrig steht, werfen selbst Zwerge einen Schatten. (Karl Kraus)
    Stichworte: -
  • #2
    im prinzip - ja. es bleiben nur die üblichen bedenken bzgl. session id klau (sniffing / cookie).

    Kommentar

    • #3
      Re: Sicherheit beim Login

      Überlege dir, welche Möglichkeiten du siehst, dass bei einem nicht angemeldeten Nutzer der Wert in der Session auf true stehen könnte.
      I don't believe in rebirth. Actually, I never did in my whole lives.

      Kommentar

      • #4
        Da die Session an den Browser und die Seite gekoppelt ist, bleibt wohl nur Sessionklau, etc... Wenn ich abfrage ob session_id() gleich der in der db eingetragenen Session ist, dann habe ich ja nur mehr Quellcode. Sessionklau, usw. dürfte immer noch das gleiche Problem sein.
        Wenn die Sonne der Kultur niedrig steht, werfen selbst Zwerge einen Schatten. (Karl Kraus)

        Kommentar

        • #5
          Ich würde username und pw (md5 möglicherweise) in session speichern und bei allen wichtigen aktionen auf der hp die nochmal mit db abgleichen lassen, ist zwar performance last aber viel sicherer.
          video2mp3.de - Kostenlos Videos von verschiedenen Videoportalen in MP3 umwandeln

          Kommentar

          • #6
            Original geschrieben von LoronorZorro
            Ich würde username und pw (md5 möglicherweise) in session speichern und bei allen wichtigen aktionen auf der hp die nochmal mit db abgleichen lassen, ist zwar performance last aber viel sicherer.
            Ja, genau - erst MD5-en, und dann mit DB-Inhalten vergleichen

            Legst du dann auch bereits MD5 in der DB ab (mit Index drauf?) - oder lässt du das dynamisch berechnen ...?
            I don't believe in rebirth. Actually, I never did in my whole lives.

            Kommentar

            • #7
              die pw sind alle md5 schon in der Datenbank.
              Wenn die Sonne der Kultur niedrig steht, werfen selbst Zwerge einen Schatten. (Karl Kraus)

              Kommentar

              • #8
                Original geschrieben von enforcer
                die pw sind alle md5 schon in der Datenbank.
                Dann würde ich das PW md5 crypted in nem Cookie/Session ablegen und bei allen wichtigen Sachen mit der DB abgleichen.
                video2mp3.de - Kostenlos Videos von verschiedenen Videoportalen in MP3 umwandeln

                Kommentar

                • #9
                  Original geschrieben von LoronorZorro
                  Dann würde ich das PW md5 crypted in nem Cookie/Session ablegen und bei allen wichtigen Sachen mit der DB abgleichen.
                  So ein Käse...
                  Es reicht auch einfach die SID.

                  Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
                  bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                  Wie man Fragen richtig stellt

                  Kommentar

                  • #10
                    Original geschrieben von ghostgambler
                    So ein Käse...
                    Es reicht auch einfach die SID.
                    Ich finde SID ist das unsicherste was es gibt, zumindestens über URL übergeben.
                    video2mp3.de - Kostenlos Videos von verschiedenen Videoportalen in MP3 umwandeln

                    Kommentar

                    • #11
                      Ich finde SID ist das unsicherste was es gibt, zumindestens über URL übergeben.
                      Und was ist daran sicherer das gehashte Passwort zu übertragen ? Anhand des Hashes kann man wunderbar brute forcen, anhand der SID garantiert nicht !
                      Und warum sollte es viel sicherer sein die Session ID via Cookie zu übertragen ? Wenn einer einen Man in the Middle Angrif macht, dann schneidet er Cookie wie URL einfach so mit

                      Gruss

                      tobi
                      Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                      [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                      Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                      Kommentar

                      • #12
                        URL ist unsicherer, weil die SID per Referer bei anderen Servern landet (/landen kann) - zum Rest äußere ich mich gar nicht erst, dazu gibt es wunderbare Artikel; wer nicht will der hat schon

                        Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
                        bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                        Wie man Fragen richtig stellt

                        Kommentar

                        Vorherige template Weiter
                        Lädt...
                        X