Malte: Sicheren Memberbereich erstellen?

Hi,

mich würde mal interessieren, wie man mittlerweile einen sicheren Memberbereich erstellt.
Bis jetzt habe ich immer die session-id im Cookie gespeichert.
Allerdings halte ich diese Lösung eher für suboptimal.
Ich möchte kein fertiges Script, sondern würde mich sehr über eine Lösung in Stichworten freuen.

  1. mich würde mal interessieren, wie man mittlerweile einen sicheren Memberbereich erstellt.

    Definiere Sicherheit.
    Es gibt verschiedene Aspekte.

    Bis jetzt habe ich immer die session-id im Cookie gespeichert.
    Allerdings halte ich diese Lösung eher für suboptimal.

    Nicht der Speicherort, sondern die Qualiät und Behandlung der ID ist massgebend.

    Ich möchte kein fertiges Script, sondern würde mich sehr über eine Lösung in Stichworten freuen.

    Gut: Das Stichwort shttp sei gefallen.

    Aber nochmals: Definiere Sicherheit.

    mfg Beat

    --
    Woran ich arbeite:
    X-Torah
       <°)))o><                      ><o(((°>o
    1. Definiere Sicherheit.

      Die Userdaten sollen halt nicht einsehbar sein und es wäre schön wenn die Tabellen nicht geleert oder gelöscht werden.
      SQL-Injection weiß ich zumindest schon zu umgehen.

      Gut: Das Stichwort shttp sei gefallen.

      Das hört sich schon gut an. Danke dir.

      1. Die Userdaten sollen halt nicht einsehbar sein und es wäre schön wenn die Tabellen nicht geleert oder gelöscht werden.

        wenn du die userdaten auf dem server speicherst und dem benutzer lediglich ein session-cookie gibtst, kann ein einzelner benutzer nichtmal seine eignen session-daten einsehen, wenn du das nicht willst

        SQL-Injection weiß ich zumindest schon zu umgehen.

        du sollst sie nicht umgehen sondern vorne herein verhindern :D

  2. Hi,

    mich würde mal interessieren, wie man mittlerweile einen sicheren Memberbereich erstellt.

    Mittlerweile? Anders, als wann? Vor allem, in welchem Umfeld?

    Bis jetzt habe ich immer die session-id im Cookie gespeichert.

    Du oder der Browser?

    Allerdings halte ich diese Lösung eher für suboptimal.

    Warum?

    Ich möchte kein fertiges Script, sondern würde mich sehr über eine Lösung in Stichworten freuen.

    Da wuesste ich wohl spontan nichts, was du hoeren willst...

    Wenn Du natuerlich ein besseres Verfahren zur Verifizierung von Usern suchst gibt es da (schon ne ganze Weile) diverse Moeglichkeiten, die aber alle ueber eine einfache Client-Serververbindung hinausgehen.

    Angenommen, du betreust eine Firma auf deren Intranet auch Mitarbeiter von ausserhalb zugreifen muessen. Dann nimmt man haeufig Token. Das sind kleine Geraete die an User gebunden sind und Codes generieren. Fuer normale Webseiten oder kleine Unternehmen ist das aber ein unmoeglicher Mehraufwand. Blizzard bietet die Dinger z.B. jetzt fuer WoW an. Man kauft ein Token, verbindet das mit einem Konto und kann sich ab da nur an diesem Konto anmelden, wenn man die vom Token generierten codes beim Anmelden eingibt.
    Vorteil: Ohne Token kein Anmelden.
    Nachteil: Ohne Token kein Anmelden.
    :)

    Ohne extra Hardware oder doppelte Verbindungen wirds schwierig.

    --
    Trau Dich!