Hello Dennis,

ich war lange nicht hier und will deshalb auch gar nicht meckern...

Du kennst den Artikel Sessionbasiertes Loginsystem bei SELFHTML? Welche Teile davon waren dir unverständlich, sodass du sie detailierter erklärt haben willst?

Der Artikel zeigt aber nur die allerersten Anfänge.
Wichtig ist mMn, dass man sich über die Funktionsweise bei Sessions allgemein und insbesondere, wie sie _automatisch_ von PHP unterstützt werden, Gedanken machen muss.

Das Verfahren der Session basiert nur auf einem "seltenen Schlüssel" oder einem "verlorenen Schlüssel". Da dem Schlüssel bei diesem Verfahren ein Gegenstück fehlt, kann man nicht von einem "zertifizierten Schlüssel" sprechen.

Aufgrund des erteilten Schlüsselwertes wird die Re-Identifikation des Besuchers betrieben, aber keine Authentifizierung.

Identifikation    (hier) = Gleichsetzung mit einem Userkonto
Authentifizierung (hier) = tatsächliche und absolute Identifikation betreiben
                           Überprüfung anhand einer genügenden Anzahl von Kriterien,
                           die der eineindeutigen Identifikation dienen

Das soll heißen, dass man gerade aktive Session-Schlüssel erraten kann. Das geht besonders gut, wenn Schlüssel aufgrund der Vergabeverfahrens mit Hilfe der Zeitkomponente erteilt werden. Dann vermindert sich nämlich der verfügbare Schlüsselvorrat auf eine sehr überschaubare Zahl.

Daher sollte man für ein vernünftiges Session-Management immer ZWEI Schlüssel erteilen, die beide vorhanden sein müssen. Damit reduziert sich die Trefferwahrscheinlichkeit erheblich.
Wenn dann auch noch jeder einzeln mehrfach vorhanden sein kann, erhöht das die "Intruder Detection Quote". Jeder realisierte "Fehlschuss", bei dem also nur einer der beiden Schlüssel getroffen wurde, veranlasst ein solches System, möglichst intelligent zu reagieren.

Aber das ist ein weites Feld...

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau