Tweet
Guten Tag!
Ich habe gerade eine Website übernommen, die bislang komplett statisch war und jetzt um ein paar serverseitige Features bereichert werden soll. Zum Beispiel sollen User, die vorher von mir einen Login-Account eingerichtet bekommen haben, in einem geschützten Bereich Termine und aktuelle Meldungen in eine MySQL-DB eintragen können. Eigentlich rechtfertigt das allein noch nicht das Umstellen auf ein CMS, deswegen wollte ichs selbst machen.
Mir hat jemand dringend davon abgeraten so einen geschützten Bereich mit .htaccess abzusichern wenn es wirklich einigermaßen sicher sein soll (Frage: warum eigentlich? Ist .htaccess so riskant?)
Jedenfalls hatte ich mir folgendes ausgedacht:
- serverseitiger Login über Login-Page mit Username- und Passwortabfrage
- Username und Passwort sind MD5-verschlüsselt und mit Session-ID in MySQL-Datenbank eingetragen
- Timestamp-Eintrag in Datenbank damit man nach 10 Minuten Inaktivität automatisch ausgeloggt wird
- Username wird zusätzlich in Cookie gespeichert und bei jedem Seitenaufruf wird neu geprüft ob der User im Cookie auch in der DB als eingeloggt steht (Daten werden aber ausreichend gefiltert um poisoned cookies vorzubeugen). Timestamp-Timer wird dann wieder auf null gesetzt wenn unter 10min.
ferner:
- Login-History-Tabelle in DB um zurückzuverfolgen wer wann eingeloggt war
Wie siehts aus damit? Ist das so ok? Hat hier noch wer zusätzliche Ideen wie man sowas auf nem LAMP-Server absichern kann?
Viele Grüße, Karsten
Ich habe gerade eine Website übernommen, die bislang komplett statisch war und jetzt um ein paar serverseitige Features bereichert werden soll. Zum Beispiel sollen User, die vorher von mir einen Login-Account eingerichtet bekommen haben, in einem geschützten Bereich Termine und aktuelle Meldungen in eine MySQL-DB eintragen können. Eigentlich rechtfertigt das allein noch nicht das Umstellen auf ein CMS, deswegen wollte ichs selbst machen.
Mir hat jemand dringend davon abgeraten so einen geschützten Bereich mit .htaccess abzusichern wenn es wirklich einigermaßen sicher sein soll (Frage: warum eigentlich? Ist .htaccess so riskant?)
Jedenfalls hatte ich mir folgendes ausgedacht:
- serverseitiger Login über Login-Page mit Username- und Passwortabfrage
- Username und Passwort sind MD5-verschlüsselt und mit Session-ID in MySQL-Datenbank eingetragen
- Timestamp-Eintrag in Datenbank damit man nach 10 Minuten Inaktivität automatisch ausgeloggt wird
- Username wird zusätzlich in Cookie gespeichert und bei jedem Seitenaufruf wird neu geprüft ob der User im Cookie auch in der DB als eingeloggt steht (Daten werden aber ausreichend gefiltert um poisoned cookies vorzubeugen). Timestamp-Timer wird dann wieder auf null gesetzt wenn unter 10min.
ferner:
- Login-History-Tabelle in DB um zurückzuverfolgen wer wann eingeloggt war
Wie siehts aus damit? Ist das so ok? Hat hier noch wer zusätzliche Ideen wie man sowas auf nem LAMP-Server absichern kann?
Viele Grüße, Karsten
Kommentar