Moin!

Also: Die Zwei-Cookie-Variante, einmal Session-Cookie und einmal Dauerlogin-Cookie? oder die Ein-Cookie-Variante nur mit dem (veralteten) Session-Cookie?

Drei Cookies. Ein Session-Cookie mit der aktuellen Session-ID, ein dauerhaftes mit dem Usernamen und ein dauerhaftes mit dem Passwort.

Wenns ans Login geht, und die Zugangsdaten benötigt werden, kann man in $_COOKIE nachsehen, ob sie schon geliefert werden, ansonsten muß man per Formular nachfragen.

Hinsichtlich des Sicherheitsniveaus sehe ich keinerlei Unterschied, weil Formulardaten auch unverschlüsselt übermittelt werden. Auch ein Hashing z.B. des Passwortes im Cookie bringt nichts, weil das Serverskript entweder das uncodierte Passwort oder den Hash im Klartext erhält. Das Passwort würde auf dem Server gehasht, der Hash würde direkt übernommen (und ggf. in einem Mechanismus eingebaut, der dann nochmal einen Hash erzeugt, der mit der Datenbank abgeglichen wird). Wenn der Hash einem Dritten bekannt wird, erhält er damit Zugriff, genau wie mit dem Passwort.

- Sven Rautenberg

Hallo!

Erstmal danke für die bisherige Antwort und die Bemerkungen dazu. Persönlich find ich eine 3-Cookie-Variante übertrieben.

Möchte hier mal über die 1-Cookie-Variante diskutieren: Stell mir das so vor, das in der DB (oder Textdatei), in der die Logindaten gespeichert werden, nach dem initialen Einloggen die aktuelle SessionID gespeichert wird.
Wenn dann derjenige wieder mit dem Session-Cookie wieder frisch auf die Seite kommt, kann man ja in der Datenbank nachschauen, ob es diese ID gab. Wenn ja, neue Session starten und die neue ID in die DB schreiben.

Sinnig oder nicht?

Gruß,
Andy

Hallo!

Ich ping meinen Thread nochmal an, weil ich mit der "Fülle" der Antworten noch nicht zu Frieden bin. :-)

Gruß,
Andy