nicht angemeldet
Hallo!
Derzeit versuche ich, ein Kundenmenü sicherer zu bekommen als es derzeit ist.
Sicherheit würde ich gerne folgendermaßen herstellen:
****
User loggt sich ein,
es werden 2 Session-ID's erzeugt.
Die erste Session-ID wird im Cookie gespeichert,
die zweite im Query-String.
Diese beiden ID's werden natürlich noch zusaetzlich in der Datenbank gespeichert.
Weiters werden in der Datenbank die IP-Adresse gespeichert,
sowie Referrer und Browser des Users.
Wenn sich der User dann weiter durchklicken will auf der Homepage,
und auch nur ein Wert passt nicht,
wird er sofort ausgeloggt!!
Bei jedem Mal, wo der User auf irgendeinen Link klickt,
wird - nachdem gecheckt wurde ob alle Daten passen -
sofort wieder eine neue Session-ID für den Cookie
und eine weitere für den Querystring erzeugt.
Weiters kommt SSL zum einsatz.
Viele Leute meinten bisher schon,
dass mich das vor "the man in the middle" auch nicht beschützt,
und generell nicht sicher sei.
Als absolute Alternativ-Methode stünde noch
das CPAN-Modul "CGI::Session" zur verfügung.
Meine Fragen
- Was muß ich an meinem Konzept veraendern?
- Ist CGI::Session sicherer als das was ich von Hand mache?
- Muß ich meine Idee Komplett schmeißen oder was geht?
- Wie würdest ihr halbwegst gute Sicherheit herstellen?
Vielen Lieben Dank!
Aqua ;o)
PS.: Dass es 100%ige Sicherheit in der Hinsicht
nicht geben kann weiß ich!