Hallo,

aktuell speichere ich für den Autologin die UserID sowie das Passwort als MD5 in einem Cookie.

Angeblich ist das aber nicht gerade sicher...

Ist die UserID statisch, kann ich mit dem MD5konvertierten Passwort jederzeit eine fremde Session weiterführen.

Wie macht man das aber nun "sicherer"?

Mit einer SessionID
Userdaten und Passwort haben auf dem Server zu verbleiben.
Das erlaubt immer noch, dass eine Session entführt werden kann, da aber eine Session nur eine beschränkte Lebenszeit hat/haben soll (somit auch die SessionID) kann dies nur für die gegenwärtige Session gelten.

Sicherheit gibt's nur via https oder via aufwändigere Tricks.

mfg Beat

Mahlzeit Christian Altmann,

aktuell speichere ich für den Autologin die UserID sowie das Passwort als MD5 in einem Cookie.

Angeblich ist das aber nicht gerade sicher...

Natürlich nicht. Theoretisch wäre es denkbar, dass jemand, der den Cookie-Wert auslesen könnte, aus dem Inhalt UserID und Passwort rekonstruieren kann.

Wie macht man das aber nun "sicherer"?

Lass das Passwort aus dem MD5 raus, das hat da nichts zu suchen. Lass auch die UserID aus dem MD5 raus, auch die hat dort nichts zu suchen. Speichere stattdessen die SessionID der serverseitigen Session als MD5 in einem Cookie. In der Session speicherst Du dann (auf dem Server!) die UserID und sonstige Informationen, die Du brauchst (z.B. Remote-IP, Datum der letzten Aktion usw.) ... das Passwort hat jedoch auch hier absolut nichts verloren. Das Passwort sollte nur zu einem einzigen Zeitpunkt gebraucht werden: wenn der Benutzer sich mit Benutzerkennung und Passwort einloggt. Und auch hier solltest Du es nicht aus der Datenbank (bzw. der Quelle, wo es gespeichert ist) auslesen und in Deiner Anwendung (PHP-Skript o.ä.) vergleichen, sondern Dir nur die UserID zur vom Benutzer eingegebenen Kombination aus Benutzerkennung und Passwort zurückliefern lassen - wenn keine UserID zurückkommt, waren die Angaben nicht korrekt.

MfG,
EKKi