Guten Morgen csx,

ich löse den Passwortschutz ähnlich, speichere jedoch die Daten nicht in einem File, sondern in einer DB.
Du solltest auf jeden Fall darauf auchten, das dein File nicht in einem öffentlichen Bereich des Webservers liegt, sonst kann durch einfaches eingeben der URL das File gelesen werden. AUßerdem solltest Du alte Sessions löschen, um zum einen die Festplatte nicht vollzustopfen und zum anderen ist die Wahrscheinlichkeit höher, das es doppelte Sessions gibt (Was bei einer 50stelligen Session-ID jedoch wie ein 6er im Lotto ist ;-)

greets
myMojito

Hi myMojito!

Das war doch mal was fundiertes zu Thema! Danke! :)

Klar, das die Datenfiles nicht im DocumentRoot drinliegen. Und klar läuft ein Cronjob, der alle paar Stunden aufräumt, etc. Nur: Es muß doch irgentwelche Angriffspunkte geben. Ich hab schon von vielen gehört, die die Authentifizierung so oder ähnlich machen. Aber das wäre doch zu einfach, oder? Irgentwelche Schwachpunkte hat das System doch mit Sicherheit (und die würd ich ganz gern schon im Vorfeld abstellen).

Gruß
csx