Tom: Wie funktioniert Einloggen mit Sessions?

Beitrag lesen

SELF-Forum

Wie funktioniert Einloggen mit Sessions?

Tom Homepage des Autors
+1 Informationen zu den Bewertungsregeln

Hello Alex,

Du benötigst als Basis des Ganzen nach wie vor eine (gültige) Session.

Gut, das war nämlich der Punkt, der mich zu meiner Frage geführt hat. Dachte du kommst in der requestbasierten Variante ohne Sessions aus.

Die Session ist der Mechanismus, mit dem Du den Client _identifizieren_ kannst, also wiedererkennen kannst, dass ein Requestor von vor x Sekunden nun erneut eine Anfrage stellt.

Das "Login" ist der Mechanismus. mit dem due den Client _authentifizieren_ kannst, also feststellen kannst, welche Rechte ihm zugeordnet werden. Dazu bedarf es i . d. R. immer zweier Kriterien, nämlich Schlüssel und Gegenschlüssel, also z.B. Name und Passwort.

Die sollten aber im Netzen nicht bei jedem Request (gemeinsam) übertragen werden (nach Möglichkeit auch nicht über eine unverschlüsselte Leitung!). Zum "Einloggen" wird dies aber üblicherweise (leider) so gemacht.

Man könnte den "Einlogvorgang" auch auftrennen in

  • Besorgen einer Session
  • Übertragen des Namens
  • Übertragen des Passwortes

Das würde das Mitschneiden schon um einiges schwieriger machen. Man müsste dann mindestens zwei passende Pakete (Sessionnummer und Name + Sessionnummer und Passwort) abfangen und zusammenführen.

In den Tagged Networks, die wir inzwischen haben, wird dies den Behörden und Diensten zwar kaum Probleme machen, denn die haben ja auch Zugriff auf das Tagging, also die Kennzeichnung, von welchem Port Pakete versandt worden sind. Aber der "normale Lauscher" wird mangels Tagging-Informationen nichts mehr damit anfangen können.

Darum muss man bei Google, eBay, usw. ja auch sein altes Passwort nochmals eingeben, wenn man ein neues setzen will. Der Loginname wird in diesem Request üblicherweise nicht mit übertragen.

Da sie Session "flüchtig" ist, also nur eine eingeschränkte Gültigkeitsdauer hat, sind die Kombinationen von Sessionnummer und Passwort und Sessionnummer und Name also auch irgendwann hinfällig.

Ein Hacken des Zuganges (per Name+Passwort-Versuche) müsste also innerhalb eines eng umgrenzbaren Zeitrahmens geschehen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

--
 ☻_
/▌
/ \ Nur selber lernen macht schlau
http://restaurant-zur-kleinen-kapelle.de
Beitrag melden
+1
Informationen zu den Bewertungsregeln