Hi,

ich verwende selbst eine eigende Sessionverwaltung die arbeitet so:

Die Session ID besteht aus mehreren Teilen,

UserID-UserGruppe-timestampDesLogIns-Checksumme

ich übergebe das ganze per GET, zusätzlich kannst du das ganze noch verschlüsseln.

Ich würde dir aber raten die Sessions von PHP zu verwenden. Du musst dazu nicht zwangsläufig cookies benutzen, dann aber GET.

Hi

denkt ihr, es gibt eine Möglichkeit, einen relativ sicheren Login auch ohne die Verwendung von Sessions oder Cookies zu erstellen?

Ja. HTTP-Auth.

Dachte da an solche Sachen wie eine selbst geschriebene "Quasi" Sessionverwaltung oder die Kopplung von time() und IP, usw. Geht das oder sollte man sich doch eher an Sessions/Cookies halten???

Das ist egal, die Qualität des Logins hängt von der Komplexität der Credentials ab.

Das Problem ist halt, dass ich nicht will, dass ein User auf meiner Seite Cookies akzeptieren muss und das Mitschleifen der Session-ID in der URL ist mir zu unsicher...

Dann nimm HTTP-Auth.

Fabian

Moin!

Hallo, nur mal so ne Frage: denkt ihr, es gibt eine Möglichkeit, einen relativ sicheren Login auch ohne die Verwendung von Sessions oder Cookies zu erstellen? Dachte da an solche Sachen wie eine selbst geschriebene "Quasi" Sessionverwaltung oder die Kopplung von time() und IP, usw. Geht das oder sollte man sich doch eher an Sessions/Cookies halten??? Das Problem ist halt, dass ich nicht will, dass ein User auf meiner Seite Cookies akzeptieren muss und das Mitschleifen der Session-ID in der URL ist mir zu unsicher...

Du hast folgendes Problem zu lösen: Damit du den Benutzer bei jeder Anforderung von Seiten oder auch Grafiken wiedererkennst, muß er bei jedem Request eine eindeutige Kennung mitschicken.

HTTP bietet dafür eigentlich nur drei verschiedene Methoden an:
1. Cookies
2. HTTP-Authentifizierung
3. Daten in GET (sichtbar per URL) oder POST (unsichtbar, aber auch unpraktisch für normale Links).

Eine dieser drei grundlegenden Methoden mußt du dir aussuchen. Keine ist gegenüber einer anderen sicherer oder unsicherer. Immer kann dir passieren, dass die gesendeten Daten, die ja unverschlüsselt übermittelt werden, abgefangen und mißbraucht werden. Bei besonders schlechten Mechanismen kann es dir obendrein noch passieren, dass man auch raten kann, welche Zugangsdaten für einen erfolgreichen Angriff notwendig sind.

Insbesondere wegen diesem letzten Punkt halte ich es für ratsam, langerprobte und bekannte Mechanismen einzusetzen, anstatt sich irgendwas selbst auszudenken. Wahlweise also HTTP-Auth oder PHP-Sessions. Damit hast du dann alle drei Fälle abgedeckt, die man mit HTTP überhaupt machen kann. PHP-Sessions verwenden bevorzugt Cookies und steigen nur dann auf URL-Parameter um, wenn keine Cookies möglich sind. Du hast dabei sogar die Möglichkeit, den Einsatz der URL-Parameter ganz fein zu steuern, wenn du nicht Trans-SID benutzt (das fügt die Parameter automatisch an alle lokalen URLs an).

- Sven Rautenberg

Was spricht denn gegen die Verwendung von Sessions? HTTP ist nun mal ein verbindungsloses Protokoll. Sessions haben den Vorteil, dass ich auf dem Server fast beliebig viele Daten von einer Seite zur anderen übertragen kann, ohne dass der Client sie ändern kann.

Gegen HTTP-AUTH spricht meiner Meinung, dass Login/Passwort jedesmal im Klartext übers Netz gehen.

Wenn sicherheitskritische Daten übertragen werden, sollte man evtl gleich SSL benutzen.

Greetings,
Charlie07