Cookie based Login - Sicherheit

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #16
    Und warum zwei Hashes? Oo
    Dann mach doch einfach einen der doppelt so lang ist... bzw. dann lass es gleich ^^;

    User-id als Primary hat den Nachteil, dass es dann pro User nur einen Hash geben kann - was zumindest ich nicht gut fand bei meiner letzten Login-Implementation ... hatte auch irgendeinen sicherheitstechnischen Aspekt, der ist mir aber gerade entfallen oo,

    Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
    bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
    Wie man Fragen richtig stellt

    Kommentar

    • #17
      ... hatte auch irgendeinen sicherheitstechnischen Aspekt, der ist mir aber gerade entfallen oO
      Vielleicht doch "in die andere Richtung"? Warum sollte ein User zwei Hashes bekommen? Im Prinzip soll der Eintrag doch nur erneuert werden wenn sich was ändern oder gelöscht wenn man sich ausloggt.
      Die Regeln | rtfm | register_globals | strings | SQL-Injections | [COLOR=silver][[/COLOR][COLOR=royalblue]–[/COLOR][COLOR=silver]][/COLOR]

      Kommentar

      • #18
        Man kann aber auf vielen verschiedenen Rechnern jeweils einen Autologin-Cookie haben, obwohl man immer derselbe User ist.
        ich glaube

        Kommentar

        • #19
          Man kann aber auf vielen verschiedenen Rechnern jeweils einen Autologin-Cookie haben, obwohl man immer derselbe User ist.
          Hast Recht, wobei ich das in der freien Wildbahn noch nie gesehen hab.
          Die Regeln | rtfm | register_globals | strings | SQL-Injections | [COLOR=silver][[/COLOR][COLOR=royalblue]–[/COLOR][COLOR=silver]][/COLOR]

          Kommentar

          • #20
            Original geschrieben von ministry
            Man kann aber auf vielen verschiedenen Rechnern jeweils einen Autologin-Cookie haben, obwohl man immer derselbe User ist.
            Ja, irgendwie dafür war das gedacht...

            Genau: Das war kein Sicherheitstechnischer Aspekt (bzw. irgendwie schon), es ging da vielmehr um folgendes:
            Wenn ein User sich zuhause autologin einloggt und dann z.B. auf der Arbeit (versehentlich) auch und er loggt sich auf der Arbeit aus, merkt die Seite "Hey, es gibt zwei Cookies" und fragt "Soll ich beide unnütz machen, oder nur den von hier?" - hat den Vorteil, dass man nicht zu viele Cookies löscht~

            Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
            bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
            Wie man Fragen richtig stellt

            Kommentar

            • #21
              Original geschrieben von tontechniker
              Hast Recht, wobei ich das in der freien Wildbahn noch nie gesehen hab.
              Brauchst doch nur das Forum als Beispiel nehmen. Zuhause 2x, hier 2x, auf der Arbeit 1x, beim Freund usw - egal wo ich bin, hier im Forum bin ich sofort eingeloggt.
              ich glaube

              Kommentar

              • #22
                Ich will mal etwas aus dem Zusammenhang sprechen.
                Du kannst einem Nutzer ja mehrere Cookies geben. Das hieße du könntest ihm einen Cookie, welches seine IP enthält mitspeichern (oder speicherst die IP in der DB). Der erste Block der IP ist immer gleich (auch bei routern) und so könnte man doch rein theoretisch testen ob der user sich von einem anderen PC einloggt.

                Da sich der ein oder andere vielleicht mal bei einem Freund einloggt kannst du ihm beim nächsten login eine Warnmeldung ausgeben lassen, dass sich jemand anders mit seiner IP eingeloggt hat (Mag zwar keine weitere Sicherheit bieten aber der Nutzer wäre dann darüber informiert, sollte jemand an sein Passwort und/oder Cookie gekommen sein).

                Oder etwa nicht.

                Kommentar

                • #23
                  Nein, afaik nicht.
                  Der erste Block gibt primär das Land an, d.h. ich habe z.B. 83 im ersten Block - mein Nachbar aber mit großer Sicherheit auch.
                  Eine Unterscheidung eines Computers anhand der IP ist nicht möglich (große Firmennetzwerke schicken teilweise hunderte von Rechnern über einen Proxy ins Internet, d.h. hunderte Rechner haben die gleiche IP).

                  Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
                  bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                  Wie man Fragen richtig stellt

                  Kommentar

                  Vorherige 1 2 template Weiter
                  Lädt...
                  X