Michael Schröpl: (JAVASCRIPT) Login geht nicht im IE

Beitrag lesen

SELF-Forum

(JAVASCRIPT) Login geht nicht im IE

Michael Schröpl
Informationen zu den Bewertungsregeln

Hi Heizer,

Falls Du _beide_ Fragen mit "nein" beanworten
kannst - nimm HTTP Authentication.
Zugegeben, ich kann beide Fragen mit nein
beantworten, würde aber doch gerne ohne HTTP
Authentication auskommen. Ich habe etwas damit
experimentiert, und muß sagen, daß mir das nicht
liegt. Die Gründe hier jetzt im einzelnen
Aufzuführen, würde zuweit gehen.

Schade - die würden mich nämlich interessieren.

Ob ich das Passwort speichere oder nicht, ist eine
andere Frage.

Huch? Die habe ich nicht gestellt. ;-)

Ich wollte nur wissen, ob Du darauf angewiesen bist, den Wert des Passworts zu kennen (beispielsweise, weil Du darüber irgendwas adressieren willst - ich kenne ja die Logik Deiner Anwendung nicht) - weil Du ihn über das HTTP-Authentication-Verfahren nicht in Deiner Anwendung zu Gesicht bekommst.
Das wäre einfach nur ein k.o.-Kriterium gewesen.

Mir erscheint es sehr unsicher, einfach einen User
als "angemeldet" zu registrieren, und ihn dann alle
Aktionen ausführen lassen.

Mir nicht. Entweder Du brauchst dahinter den gegenseitigen Ausschluß, oder Du brauchst ihn nicht - so einfach ist das.
Username und Passwort sind grundsätzlich unsicher (weil ausprobierbar etc.) - über welches Verfahren sie auch immer übertragen werden.

Ich denke, daß dies wechsentlich einfacher zu hacken
wäre, als wenn ich Benutzername und Passwort
speichere (bei sessions wird das meines Wissens ja
auf dem Server gespeichert, nicht im Cookie selbst),
und beim ausführen einer Aktion nachfrage, ob beides
immernoch stimmt.

Jeder einzelne Request sendet Username und Passwort mit - egal, ob bei Deinem Selbstbau-Verfahren oder bei HTTP-Authentication. Anders wäre die ständige Prüfung doch gar nicht machbar.
Wo soll da also irgend ein Unterschied sein?

Und wenn Du Digest Authentication verwendest, dann werden die Credentials sogar verschlüsselt übertragen.
(Wie ist das mit Deinem Login-Verfahren in dieser Hinsicht?)

vielleicht bin ich da für meine Verhältnisse etwas
pingelig, aber ich habe gerne gute bis perfekte
Lösungen für ein Problem.

Genau deshalb empfehle ich Dir ja, die perfekte Lösung zu verwenden - nämlich Dich an den Standard zu halten. Der hat schon seinen Sinn ... und sei es nur, daß Du nichts selbst entwickeln mußt, was höchstens schlechter und unverständlicher (= schwerer wartbar) wäre als das, was bereits fertig in Server und Browser eingebaut ist.

Viele Grüße
      Michael

Beitrag melden
Informationen zu den Bewertungsregeln