Sven Rautenberg: Sicheres Login

Beitrag lesen

SELF-Forum

Sicheres Login

Sven Rautenberg Homepage des Autors
Informationen zu den Bewertungsregeln

Moin!

Wenn Du Verschlüsselung wünschst, beschäftige dich mit ssl (https, shtml).

WAAHHHH!!!!!1
Erklärst du mal bitte, was ".shtml" mit Verschlüsselung zu tun hat?

Wenn du als Antwort mehr als "Nichts!" schreiben kannst, wäre das interessant. Denn "shtml" steht NICHT für "secure html" - das behaupten nur Betrüger-EMails, die einen zum Übermitteln der eigenen Kreditkartennummer oder irgendwelchen Passworten bewegen wollen.

Dass bei fehlerhafter Beantwortung des Request-Dialogs (3x) mit dem Server "die" keine-Zugangsberechtigung-Seite kommt, kann man im Apachen konfigurieren und für diesen Fehler acuh eine andere (eigene) Seite einbinden. Dazu müsste man aber das Manual von apache.org unter dem Stichwort "htaccess" lesen und verstehen.

Falsch. Für das Anzeigen der Loginfehler-Seite ist ganz allein der Browser verantwortlich. Der kann nach 3mal den Dialog aufgeben, wenn der Browserprogrammierer es toll findet, oder auch bis zur Unendlichkeit immer wieder das Dialogfenster anzeigen und nach einem Passwort fragen - die Fehlerseite kommt dann nur, wenn man auf abbrechen klickt.

Zum anderen habe ich einen Login in php realisiert. Die Logindaten sind in meiner Datenbank gespeichert. Der Status, ob man sich korrekt eingelogt hat, wird mit der Methode POST immer weiter gegeben
(zur Steigerung der Sicherheit habe ich unsinnige Werte versendet, die man nicht errät).

Das ist nicht ganz praktisch, denn was passiert, wenn jemand zwischendurch eine andere Methode verwendet?

Das ist vollkommen unsicher, weil jedermann durch geschicktes Hingucken ins Formular diese Art des Logins erkennen und mißbrauchen kann. Die Information, ob ein Account eingeloggt ist oder nicht, gehört nicht in die vom Browser übermittelten Daten! Entweder wird bei jedem Request Username und Passwort übermittelt, oder eine hinreichend lange, zufällige Session-ID.

Sessions mit Cookies oder Sessions mit "Auth401", also demselben Verfahren, das auch .htaccess benutzt. Leider musst Du dir diese Sessionvariante in PHP dann noch selber zusammenschrauben.

Gegen die Sessions von PHP ist aber absolut nichts einzuwenden.

- Sven Rautenberg

Beitrag melden
Informationen zu den Bewertungsregeln
0 21

Sicheres Login

Thomas
  • programmiertechnik
  1. 0
    Tom
    1. 0
      Sven Rautenberg
      1. 0
        Tom
        1. 0
          Sven Rautenberg
      2. 0
        Thomas
        1. 0
          Tom
    2. 0
      Henryk Plötz
      1. 0
        Tom
  2. 0
    Philipp Hasenfratz
    1. 0
      Thomas
      1. 0
        Philipp Hasenfratz
        1. 0

          Sicheres Login / Wo Logindatent auf dem Server ablegen? DB?

          Thomas
          1. 0
            Philipp Hasenfratz
            1. 0
              Thomas
              1. 0
                Philipp Hasenfratz
    2. 0
      Tom
      1. 0
        Philipp Hasenfratz
    3. 0
      Henryk Plötz
      1. 0
        Thomas
        1. 0
          Henryk Plötz