Jörg Reinholz: Software zum Artikel im Wiki Test der "Pre-Apha-Version"

Im Wiki-Beitrag "PHP/Anwendung und Praxis/Loginsystem" hatte ich eine Software zur Verwaltung der Login-Daten versprochen.

Die ist jetzt in einer "Pre-Apha-Version" zum Testen bereit.

Normale Benutzer:

  • foo
  • bar
  • denny

Admin:

  • adm

Passwort für alle: GeHeim

(Der root hat ein anderes Passwort, damit Ihr nicht alles in Minutenschnelle kaputtspielt...)

In der Download-Version hat auch der Root das Passwort "GeHeim".

Jörg Reinholz

  1. Vorweg: Der Quelltext ist natürlich unaufgeräumt

    Jörg Reinholz

    1. Vorweg: Der Quelltext ist natürlich unaufgeräumt

      Der Download geht leider nicht, nach dem Link auf den Link kommt folgende Meldung:


      Error 404:

      Eine ungültige Seite wurde angefordert.


      Nach dem Logout wäre schön wenn man wieder auf die Login Seite weitergeleitet wird oder man eine Bestätigung erhält, dass der Logout erfolgreich war. Derzeit wird nur eine weiße Seite angezeigt.

      Beides getestet mit dem User "adm"

      1. Vorweg: Der Quelltext ist natürlich unaufgeräumt

        Der Download geht leider nicht, nach dem Link auf den Link kommt folgende Meldung:

        Geändert.

        Nach dem Logout wäre schön wenn man wieder auf die Login Seite weitergeleitet wird oder man eine Bestätigung erhält, dass der Logout erfolgreich war. Derzeit wird nur eine weiße

        Seite angezeigt.

        Ich hatte, weil der Hoster es anders par tout nicht will, in der Zeit die härteste Variante des Lösches der Session einbauen müssen:

        unlink ( SESSION_FILE_DIR . '/sess_' . session_id());

        Just als ich daran baute hast Du Dich abgemeldet.

        Jörg Reinholz

    2. Vorweg: Der Quelltext ist natürlich unaufgeräumt

      DAS geht überhaupt nicht ;)

      Ne Demo habe ich mal entworfen. Benutzer werden hier administriert.

      Kannst Dirs ja mal angucken.

      Schöne Grüße.

  2. Moin,

    ein auf PHP basierendes Loginsystem ... was is'n das? Prüft man hier gegen ein AD? Oder geht's einfach nur um das sichere Ablegen sensibler Daten?

    Bei einem Loginsystem denke ich immer auch an ein AAA-System.

    Wenn man Teile eines Internetauftritts vor neugierigen Augen schützen will, benötigt man ein wirksames System zur Zugangskontrolle.

    so fängt der Artikel an ... hat mich irgendwie an robots.txt erinnert.

    Ich als PHP-Noob frage mich, warum man das in PHP lösen sollte? Kann der Apache oder auch IIS das nicht handhaben? Warum sollte ich als Super-DAU-Proggi anfangen unsichere Sachen in der Programmiersprache meiner Wahl nachzubilden?

    Von der Sache her finde ich es toll was du da machst, aber so ganz verstehe ich es nicht. Damit meine ich nicht die Sache mit dem Salzen und Rainbow-Tables & das ganze Zeugs. Ich verstehe nur nicht, warum man sowas (Login) in PHP sicherer machen sollte/könnte als die im zugestellte Umgebung.

    PHP ist doch auch nur eine blöde exe auf dem Server.

    LG bernd

    1. so fängt der Artikel an ... hat mich irgendwie an robots.txt erinnert.

      Ich glaube, davon sind wir ein gutes Stück entfernt...

      Ich als PHP-Noob frage mich, warum man das in PHP lösen sollte? Kann der Apache oder auch IIS das nicht handhaben? Warum sollte ich als Super-DAU-Proggi anfangen unsichere Sachen in der Programmiersprache meiner Wahl nachzubilden?

      Das Authentifizieren mit htaccess hat den Nachteil, dass man sich nicht wirksam abmelden kann - das Login gilt für die Browsersitzung. Und wenn die wegen eines lang dauernden Downloads offen bleiben muss hat man u.U. ein Sicherheitsproblem. Dafür habe ich Jahren mal was hübsches geschrieben.

      Außerdem kann das vorgestellte System ein wenig mehr: Benutzer rauswerfen und blockieren (ohne dass das Passwort verloren geht, eine einfache Möglichkeit etwas wie ACL zu haben, zusätzliche Daten zu den Benutzern speichern, die automatische Vergabe sicherer Passwörter, unterschiedliche Rechte für verschiedene Dateien (PHP) oder Ordner (alle anderen). Außerdem lassen sich in PHP-Skripten auch Aktionen an die Rechte binden (versuche mal als Adm dem Root ein anderes Passwort zu geben...)

      Jörg Reinholz

      1. @@Jörg Reinholz:

        Das Authentifizieren mit htaccess hat den Nachteil, dass man sich nicht wirksam abmelden kann - das Login gilt für die Browsersitzung.

        Login? Wo kein Logout, da auch kein Login.

        Der Martin hatte den Unterschied zwischen Login und HTTP-Authentifizierung mal hübsch beschrieben.

        LLAP

        --
        „Talente finden Lösungen, Genies entdecken Probleme.“ (Hans Krailsheimer)