Hi,

habe Sicherheit bisher wie folgt implementiert:
a) Surfer geht auf die Einstiegsseite, die an ein Perl-Script weiterleitet und eine Tabelle "SESSIONS" auf dem Datenserver bekommt einen neuen Datensatz "Session" und das Perl-Script schreibt die Session_GUID in ein input-Feld mit dem Attribut type=hidden.
b) Surfer loggt sich (ggf.) erfolgreich ein durch Übersenden der Information "Account", "Password" und "Session_GUID", Perl-Script begrüsst den Nutzer und der "oben angelegte" Datensatz "Session" bekommt im Datenfeld "Session_Benutzer_GUID" eine "Benutzer_GUID" aus der Tabelle "BENUTZER". Session damit authentifiziert.
c) Surfer kann nun mit seiner Session_GUID (die per "manuell" verwalteten Roundtrips immer wieder hin- und hergeht) Datenzugriff mittels weiterer Perl-Scripte (Win32::ODBC) und gespeicherter Prozeduren, jeweils auch mit der Session_GUID parametrisiert, bekommen.

Ich sehe da grundsätzlich zwei Problemchen: a) authentifizierte Session_GUID wird geklaut bzw. abgelauscht b) Session_GUID wird erraten (kann ich mir aber kaum vorstellen).

Taugt das o.g. Konzept? Kann man's optimieren ( siehe a )?

Gruss,
Lude