Sicherheit: PHP-Sessions oder htaccess für Loginbereich
0 0 
Götz
Sicherheit: PHP-Sessions oder htaccess für Loginbereich
Hallo,
ich möchte mir einen geschützen Bereich für mehrer Mitglieder basteln - user und password stehen in einer mysql-datenbank.
welche methode ist nun sicherer php-session oder über htacces?
was würdet ihr empfehlen?
LG Mel
-
Hallo,
welche methode ist nun sicherer php-session oder über htacces?
Sessions haben den Vorteil, nach einer bestimmten Zeit zu verfallen. Jemand, der sich vergißt bei Server abzumelden, wird also nach einer bestimmten Zeit automatisch abgemeldet. HTTP-Auth mit Methode Digest hat den Vorteil, daß das Passwort (asgenommen die Registrierung) nie selbst übertragen wird.
Was sind also Deine Kriterien für "sicher"?
Gruß aus Berlin!
eddi-
Hi
Was sind also Deine Kriterien für "sicher"?
Mit "sicher" meinte ich, welche Methode sicherer vor Hackerangriffen ist???
LG Mel
-
Hallo,
Mit "sicher" meinte ich, welche Methode sicherer vor Hackerangriffen ist???
HTTP-Auth mit Methode Digest bei SSL-verschlüsselter Übertragung während der Regestrierung des Passworts.
Gruß aus Berlin!
eddi-
Hi
HTTP-Auth mit Methode Digest bei SSL-verschlüsselter Übertragung während der Regestrierung des Passworts.
ich habe eine SSL-verschl. Übertragung. Jetzt das Ganze mit PHP-Sessions ... würdest Du mir davon absolut abraten?
LG Mel
-
Hallo,
ich habe eine SSL-verschl. Übertragung. Jetzt das Ganze mit PHP-Sessions ... würdest Du mir davon absolut abraten?
wenn das Paswort nur einmal im Klartext bei der Registrierung übertragen werden muß, so ist HTTP-Auth dennoch den Vorang vor einer Session zu geben, wo bei jedem Log in Klartextübertragungen stattfinden.
Gruß aus Berlin!
eddi-
Hi
wenn das Paswort nur einmal im Klartext bei der Registrierung übertragen werden muß, so ist HTTP-Auth dennoch den Vorang vor einer Session zu geben, wo bei jedem Log in Klartextübertragungen stattfinden.
Ok, aber was ist mit dem Problem, wenn sich jemand nicht abmeldet oder das (bzw. alles) Browserfenster schließt??
LG Mel
-
Hallo,
Ok, aber was ist mit dem Problem, wenn sich jemand nicht abmeldet oder das (bzw. alles) Browserfenster schließt??
"abgemelden" kann mich sich bei HTTP-Auth ausschließlich durch beenden des Browsers.
Gruß aus Berlin!
eddi-
Hi
"abgemelden" kann mich sich bei HTTP-Auth ausschließlich durch beenden des Browsers.
Genau das meine ich, also wäre da PHP + SSL die bessere Variante, oder?
LG Mel
-
-
-
-
-
-
-
-
Hallo Melanie,
was würdet ihr empfehlen?
das kommt immer darauf an, was Du genau vorhast.
Beide Möglichkeiten haben ihre Vorteile, allgemein kann ich nicht sagen, was "besser" oder "schlechter" ist - wie Eddi schon sagte mußt Du dazu erstmal definieren, was für Dich "besser" ist.Grüße aus Karlsruhe,
Götz--
Losung für Montag, 29. Mai 2006
Alles, was der Herr will, das tut er im Himmel und auf Erden, im Meer und in allen Tiefen. (Psalm 135,6)
Herr, unser Gott, du bist würdig, zu nehmen Preis und Ehre und Kraft; denn du hast alle Dinge geschaffen, und durch deinen Willen waren sie und wurden sie geschaffen. (Offenbarung 4,11)
(Losungslink)
