Thomas: Sicheres Login

Beitrag lesen

SELF-Forum

Sicheres Login

Thomas
Informationen zu den Bewertungsregeln

Grüße!

Erst einmal ein VORLÄUFIGES DANKESCHÖN an alle, die mir bisher versucht haben meine Fragen zu beantworten. Ich werde aber noch in der einen oder anderen Sache nachhaken. :)

Dass bei fehlerhafter Beantwortung des Request-Dialogs (3x) mit dem Server "die" keine-Zugangsberechtigung-Seite kommt, kann man im Apachen konfigurieren und für diesen Fehler acuh eine andere (eigene) Seite einbinden. Dazu müsste man aber das Manual von apache.org unter dem Stichwort "htaccess" lesen und verstehen.

Falsch. Für das Anzeigen der Loginfehler-Seite ist ganz allein der Browser verantwortlich. Der kann nach 3mal den Dialog aufgeben, wenn der Browserprogrammierer es toll findet, oder auch bis zur Unendlichkeit immer wieder das Dialogfenster anzeigen und nach einem Passwort fragen - die Fehlerseite kommt dann nur, wenn man auf abbrechen klickt.

Das klingt so, als könnte ich die Seite, die letztendlich angezeigt wird, doch im Apache konfigurieren.

Zum anderen habe ich einen Login in php realisiert. Die Logindaten sind in meiner Datenbank gespeichert. Der Status, ob man sich korrekt eingelogt hat, wird mit der Methode POST immer weiter gegeben
(zur Steigerung der Sicherheit habe ich unsinnige Werte versendet, die man nicht errät).

Das ist nicht ganz praktisch, denn was passiert, wenn jemand zwischendurch eine andere Methode verwendet?

Das ist vollkommen unsicher, weil jedermann durch geschicktes Hingucken ins Formular diese Art des Logins erkennen und mißbrauchen kann.

Da die tatsächlichen html Seiten ja serverseitig mit php aufgebaut werden, befindet sich dieses hidden-Feld ja nur auf der Seite und kann von jedermann gefunden werden, wenn man sich tatsächlich erfolgreich eingeloggt hat. Die Werte für "name" und "value" des hidden-Feldes werden zufällig erzeugt und in der Datenbank abgelegt, die Weitergabe dieser Werte entspricht damit im Prinzip der Weitergabe von Login und Passwort (und Überprüfung).

Die Information, ob ein Account eingeloggt ist oder nicht, gehört nicht in die vom Browser übermittelten Daten! Entweder wird bei jedem Request Username und Passwort übermittelt, oder eine hinreichend lange, zufällige Session-ID.

Die hinreichend lange Session-ID würde ich doch auch mit POST also über den Browser übermitteln, oder?

Thomas

Beitrag melden
Informationen zu den Bewertungsregeln
0 21

Sicheres Login

Thomas
  • programmiertechnik
  1. 0
    Tom
    1. 0
      Sven Rautenberg
      1. 0
        Tom
        1. 0
          Sven Rautenberg
      2. 0
        Thomas
        1. 0
          Tom
    2. 0
      Henryk Plötz
      1. 0
        Tom
  2. 0
    Philipp Hasenfratz
    1. 0
      Thomas
      1. 0
        Philipp Hasenfratz
        1. 0

          Sicheres Login / Wo Logindatent auf dem Server ablegen? DB?

          Thomas
          1. 0
            Philipp Hasenfratz
            1. 0
              Thomas
              1. 0
                Philipp Hasenfratz
    2. 0
      Tom
      1. 0
        Philipp Hasenfratz
    3. 0
      Henryk Plötz
      1. 0
        Thomas
        1. 0
          Henryk Plötz