Sicherheit: PHP-Sessions oder htaccess für Loginbereich
Melanie
- php
Hallo,
ich möchte mir einen geschützen Bereich für mehrer Mitglieder basteln - user und password stehen in einer mysql-datenbank.
welche methode ist nun sicherer php-session oder über htacces?
was würdet ihr empfehlen?
LG Mel
Hallo,
welche methode ist nun sicherer php-session oder über htacces?
Sessions haben den Vorteil, nach einer bestimmten Zeit zu verfallen. Jemand, der sich vergißt bei Server abzumelden, wird also nach einer bestimmten Zeit automatisch abgemeldet. HTTP-Auth mit Methode Digest hat den Vorteil, daß das Passwort (asgenommen die Registrierung) nie selbst übertragen wird.
Was sind also Deine Kriterien für "sicher"?
Gruß aus Berlin!
eddi
Hi
Was sind also Deine Kriterien für "sicher"?
Mit "sicher" meinte ich, welche Methode sicherer vor Hackerangriffen ist???
LG Mel
Hallo,
Mit "sicher" meinte ich, welche Methode sicherer vor Hackerangriffen ist???
HTTP-Auth mit Methode Digest bei SSL-verschlüsselter Übertragung während der Regestrierung des Passworts.
Gruß aus Berlin!
eddi
Hi
HTTP-Auth mit Methode Digest bei SSL-verschlüsselter Übertragung während der Regestrierung des Passworts.
ich habe eine SSL-verschl. Übertragung. Jetzt das Ganze mit PHP-Sessions ... würdest Du mir davon absolut abraten?
LG Mel
Hallo,
ich habe eine SSL-verschl. Übertragung. Jetzt das Ganze mit PHP-Sessions ... würdest Du mir davon absolut abraten?
wenn das Paswort nur einmal im Klartext bei der Registrierung übertragen werden muß, so ist HTTP-Auth dennoch den Vorang vor einer Session zu geben, wo bei jedem Log in Klartextübertragungen stattfinden.
Gruß aus Berlin!
eddi
Hi
wenn das Paswort nur einmal im Klartext bei der Registrierung übertragen werden muß, so ist HTTP-Auth dennoch den Vorang vor einer Session zu geben, wo bei jedem Log in Klartextübertragungen stattfinden.
Ok, aber was ist mit dem Problem, wenn sich jemand nicht abmeldet oder das (bzw. alles) Browserfenster schließt??
LG Mel
Hallo,
Ok, aber was ist mit dem Problem, wenn sich jemand nicht abmeldet oder das (bzw. alles) Browserfenster schließt??
"abgemelden" kann mich sich bei HTTP-Auth ausschließlich durch beenden des Browsers.
Gruß aus Berlin!
eddi
Hi
"abgemelden" kann mich sich bei HTTP-Auth ausschließlich durch beenden des Browsers.
Genau das meine ich, also wäre da PHP + SSL die bessere Variante, oder?
LG Mel
Hallo Melanie,
was würdet ihr empfehlen?
das kommt immer darauf an, was Du genau vorhast.
Beide Möglichkeiten haben ihre Vorteile, allgemein kann ich nicht sagen, was "besser" oder "schlechter" ist - wie Eddi schon sagte mußt Du dazu erstmal definieren, was für Dich "besser" ist.
Grüße aus Karlsruhe,
Götz