Community: Arbeiten mit Tokens sicherer?

**jahlives** · 25.08.2008, 15:34

Kommt darauf an wie zufällig der Token generiert wird. Solange es nicht wirklich zufällig ist, kann es einem Bösewicht die Arbeit eher erleichtern als erschweren.
http://www.heise.de/newsticker/Trend...meldung/114746

**TobiaZ** · 25.08.2008, 15:34

falls Autologin ausgewählt wurde, dann wird zusätzlich noch ein Cookie gesetzt mit userid und passwort als md5.

Hat im Cookie nichts zu suchen...

Das Thema auto-login wurde aber bereits mehrfach besprochen. suche!

Ist das eine sichere Variante? Wie läuft das dann genau ab?

Was unterscheidet einen solchen Token von deinem Hash
(Außer dass man aus einem Token kein Passwort ableiten kann.)

In der Community arbeite ich allerdings oft mit den Session-Variablen $_SESSION['userid'] + $_SESSION['username'] usw.

Ja und? Was hat das mit dem Login zu tun?

**TobiaZ** · 25.08.2008, 15:36

Solange es nicht wirklich zufällig ist, kann es einem Bösewicht die Arbeit eher erleichtern als erschweren.

Das ist aber auch wirklich dumm. Zumal man dennoch erst ungefähr wissen muss, worauf der Algorithmus beruht, bzw. dies rausfinden muss.

**Truncate** · 25.08.2008, 15:44

Also zum Thema "Autologin" finde ich nur die üblichen Versionen hier im Forum...

Ich dachte ja der Token hat auch was mit dem Autologin zu tun...

**TobiaZ** · 25.08.2008, 15:53

Ja, hab den Vergeich zu deinem aktuellen System doch schon gezogen. Was brauchst du noch mehr?

**jahlives** · 25.08.2008, 16:08

@TobiaZ
Pseudozufallszahlen gelten doch für Einmalschlüssel (Tokens) als nicht ausreichend sicher, oder?
Es ist mir schon klar, dass man erst hinter den Algorithmus kommen muss. Aber eine Sicherheit die auf Geheimhaltung des Algos beruht würde ich jetzt nicht wirklich als sicher bezeichnen

(mag für ne Webpage ausreichen)
Einmaltokens (Schlüssel) gelten doch - wenn sie ausreichend zufällig sind - als mathematisch unknackbar.

**Truncate** · 25.08.2008, 16:13

Welchen Unterschied macht es denn wenn ich einen Token im Autologin-Cookie habe? Damit können doch "Fremde" genausogut auf den Account zugreifen...

**TobiaZ** · 25.08.2008, 20:00

Einmaltokens (Schlüssel) gelten doch - wenn sie ausreichend zufällig sind - als mathematisch unknackbar.

Jou, das sehe ich auch so.

Welchen Unterschied macht es denn wenn ich einen Token im Autologin-Cookie habe? Damit können doch "Fremde" genausogut auf den Account zugreifen...

Worauf zielt deine Gegenfrage ab?

**3DMax** · 25.08.2008, 21:08

Re: Community: Arbeiten mit Tokens sicherer?

Original geschrieben von Truncate
Jetzt sehe ich immer öfter Seiten die mit "Tokens" arbeiten...

darf ich mal blöd fragen, was damit gemeint ist?

"token" sagt mir jetzt nur im zusammenhang mit einem formular etwas, um doppelte submits (reload) abzufangen.

**combie** · 25.08.2008, 21:20

Ich kann mir schon was darunter vorstellen, auch wenn ich den Begriff Token nicht angemessen finde. Token sind nicht unbedingt unique.

**TobiaZ** · 25.08.2008, 21:57

Ich denke mal, wir meinen alle einen zufällig (aber wirklich weitestgehend zufälig) generierten String, ...

**3DMax** · 25.08.2008, 23:15

achso, ein token für's autologin.
das ist doch eine nette funktion: http://de.php.net/manual/de/function.uniqid.php#75740

aber weil das thema sicherheit angesprochen wurde.
wenn mehrere benutzer an dem pc arbeiten oder bei diebstahl/verlust wird's problematisch.
bei einer community vielleicht paranoid, beim onlinebanking jedoch nicht. kommt halt darauf an, wie wichtig oder schützenswert die daten sind.

**TobiaZ** · 26.08.2008, 14:12

das ist doch eine nette funktion: http://de.php.net/manual/de/function.uniqid.php#75740

joar, nett schon. Aber zum Teil nicht so wirklich zufällig.

aber weil das thema sicherheit angesprochen wurde.
wenn mehrere benutzer an dem pc arbeiten oder bei diebstahl/verlust wird's problematisch.

Das sind grundlegende Probleme eines Auto-Logins um die es aber eigentlich nicht geht.

Community: Arbeiten mit Tokens sicherer?