Login mit Session sicher? von Beat, 25.07.2008 14:32

Login mit Session sicher?

MB 25.07.2008 13:33

Hallo!

Ich möchte für eine webseite ein login-system basteln. Ich hab mir das so ausgeklügelt, dass nach dem Abgleich des Benutzernamen/Passworts mit der Datenbank der Benutzername und die Berechtigungen in die Session-Variable gespeichert werden. D.h. wer sich erfolgreich einloggt, startet ne Session.
In jedes Skript papp ich anfangs dann ne Abfrage, ob eine Session mit Benutzernamen und Berechtigungsstufe vorhanden ist; wenn nicht, wird man auf die Startseite umgeleitet zum einloggen.

Ist das ganze halbwegs sicher, oder könnte man die Session manipulieren und sich Zugang zu der Seite verschaffen?

Gruß,
M.B.

Beitrag melden

– Informationen zu den Bewertungsregeln

Login mit Session sicher?
Beat Homepage des Autors 25.07.2008 14:32

php
– Informationen zu den Bewertungsregeln
Ist das ganze halbwegs sicher, oder könnte man die Session manipulieren und sich Zugang zu der Seite verschaffen?

Ich arbeite nicht mit PHP
Aber ich vermisse den Begriff Session-ID als einen unique und komplexen String, der statt der Userdaten zur Identifikation zwischen User-Agent und Server verwendet wird.

Denke daran, dass alle Daten, die auf einem PC landen (inklusive Cookies) manipuliert werden können.
Weder sollte der Username noch seine Rechte an den Browser gesendet werden, sondern nur die Session-ID.

mfg Beat

--
Woran ich arbeite:
X-Torah
<°)))o>< ><o(((°>o
Beitrag melden

–
Informationen zu den Bewertungsregeln

SELFHTML Forum - Ergänzung zur Dokumentation Übersicht

MB: Login mit Session sicher?