Malcolm Beck`s: Ein Loginscript - so weit, so gut

Beitrag lesen

SELF-Forum

Ein Loginscript - so weit, so gut

Malcolm Beck`s
Informationen zu den Bewertungsregeln

Hi Jörg,

Damit macht Du das kaputt, was Du erreichen willst. Der User hat inzwischen nämlich eine neue IP, weil sein ISP ihm die neue nach 24h verpasst hat. Hint: Das kann auch um 14:23 erfolgen.

Sind viele Nutzer von solchen ISPs betroffen? Ich hatte sowas meine ich noch nie. Aber ich hab mir leider auch nicht immer angeguckt, welche IPs ich so hatte.

Das gehaschte Passwort im Cookie ist so unnötig wie ein Kropf und ist potentiell geeignet, die Sicherheit noch mehr zu beschädigen als es die Langzeitsession so oder so schon tut.

Ok, ihr habt mich überzeugt. Hattet ihr eigentlich schon viel Früher geschafft, aber ich wollte auf Nummer sicher gehen :)

Wie wäre folgendes: Statt das ich das Passwort im Cookie speichere, speichere ich bei einem regulären Login einfach einen Token in der DB (evtl. die IP in gehashter Form?), quasi eine Passwort-Alternative. Es sollte doch kein Problem darstellen? Für jedes Login an einem Client ein eigener Token, und auf Userseite noch die Datenbank-ID des Tokens im Cookie festhalten. Ich möchte auf gar keinen Fall selber irgendwelche Textdateien erstellen und speichern müssen, weil das meist der Anfang vom Ende ist :)

Es geht mir eigentlich nur darum, den User zu erkennen, bei dem keine Session mehr ist, um die Session neu starten zu können. Denn die Session wird ja zerstört, sobald der User den Browser schliesst. Daher muss ich ja irgendeine Info beim User lassen, die keiner so leicht erraten kann. Daher kam ich überhaupt erst auf den Klopps mit dem Passwort im Cookie.

Die meisten Tipps von euch waren schon sehr hilfreich für mich. Damit kann ich was anfangen, nur dieser eine Punkt gibt mir noch etwas zu denken. Oder ich verstehe eure Lösungsvorschläge nicht.

Was ich schon mal in die Klasse übernehme, also abgehakt sind.

session.regenerate // nach dem ersten Login
Cookie             // httponly und flags setzen
password_hash      // ich muss öfter mal wieder lesen, ich programmiere auf dem Stand von 2012 :)
password_verify    // antworten auf nie gestellte Fragen sind immer noch die besten :)

Was mache ich nun mit dem Cookie?

Bis bald

--
Hosen sind Blau

Grundlage für Zitat #2091.

Beitrag melden
Informationen zu den Bewertungsregeln
0 58

Ein Loginscript

Malcolm Beck`s
  • datenbank
  • php
  1. -2
    pl
    1. 0
      Orlok
      • perl
      • zu diesem forum
  2. 0
    Jörg Reinholz
    1. 0
      Jörg Reinholz
      1. 0
        Malcolm Beck`s
        1. 0
          Jörg Reinholz
          1. 0
            woodfighter
            1. 0
              Auge
              • datenbank
              • menschelei
              • php
              1. 0
                Christian Kruse
                1. 0
                  Jörg Reinholz
          2. 0
            Malcolm Beck`s
            1. 2
              Auge
              • php
              • sicherheit
              1. 0
                Malcolm Beck`s
                1. 2
                  Jörg Reinholz
                  1. 0

                    Ein Loginscript - so weit, so gut

                    Malcolm Beck`s
                    1. 0
                      Matthias Apsel
                      1. 0
                        Malcolm Beck`s
                        1. 1
                          Auge
                          • internet-anbindung
                          • sicherheit
                          1. 0
                            woodfighter
                            • internet-anbindung
                            1. 0
                              Auge
                              1. 0
                                woodfighter
                                1. 0
                                  Auge
                      2. 0
                        woodfighter
                        1. 0
                          Jörg Reinholz
                        2. 0
                          Matthias Apsel
                          1. 0
                            woodfighter
                            • internet-anbindung
                    2. 1
                      Jörg Reinholz
                      • php
                      • programmiertechnik
                      • programmiertechnik
                      1. 0

                        Ein Loginscript - so weit geklärt

                        Malcolm Beck`s
                    3. 1
                      Jörg Reinholz
                      1. 0
                        Malcolm Beck`s
            2. 1
              woodfighter
    2. 0
      Malcolm Beck`s
      1. 0
        woodfighter
      2. 1
        Jörg Reinholz
    3. 3
      1unitedpower
  3. 2
    Felix Riesterer
    1. 4
      Christian Kruse
      1. 0
        Malcolm Beck`s
        1. 1
          Christian Kruse
          1. 0
            Malcolm Beck`s
            1. 0
              Christian Kruse
              1. 0
                Malcolm Beck`s
            2. 2
              woodfighter
              1. 0
                woodfighter
                • sicherheit
            3. 1
              Tabellenkalk
              1. 0
                Auge
                • datenbank
                • menschelei
                • php
              2. 0
                Jörg Reinholz
      2. 0
        Felix Riesterer
        1. 0
          Christian Kruse
      3. -2
        pl
        1. 0
          woodfighter
    2. 0
      Malcolm Beck`s
      1. 3
        Christian Kruse
        1. 0
          Malcolm Beck`s
          1. 0
            Christian Kruse
            1. 0
              Malcolm Beck`s
              1. 0
                Christian Kruse