resper: Frage zum Wiki-Artikel „Loginsystem“

problematische Seite

In dem Artikel steht:

sondern den Einsatz von erprobten Frameworks empfehlen

Welche Frameworks sind denn zu empfehlen, wenn es um eine reine Login Lösung geht und man kein CMS System oder ähnliches benötigt?

  1. problematische Seite

    Welche Frameworks sind denn zu empfehlen, wenn es um eine reine Login Lösung geht und man kein CMS System oder ähnliches benötigt?

    Ich emfpehle gerne Zend, Laravel und Symfony.

    1. problematische Seite

      Tach!

      Ich emfpehle gerne Zend, Laravel und Symfony.

      Kommt die Zend-Framework-Empfehlung von Herzen oder steht sie da nur so, weil es eines der namhaften ist? Für mich ist das Zend Framework nicht tragbar. Um dort irgendwas zu erreichen, muss man eine irre komplexe, verschachtelte Arraystruktur aufbauen. Jede Menge Schlüssel, die man wissen oder nachschlagen muss, sind da als String anzugeben. IDEs können da nicht mit Autovervollständigen helfen - na, vielleicht gibts spezielle Module dafür.

      Es gibt jedenfalls genügend Listen mit Frameworks für PHP. Mein Favorit ist derzeit Slim, ein Microframework. Natürlich braucht man auch da Strings, die sind aber anwendungsspezifisch, weil sie Namen von Routen oder Feldnamen der DB sind, aber es sind keine vom Framework vorgegebenen.

      dedlfix.

      1. problematische Seite

        Danke für den Hinweis auf Slim. Werde ich mir mal angucken.

      2. problematische Seite

        Kommt die Zend-Framework-Empfehlung von Herzen oder steht sie da nur so, weil es eines der namhaften ist? Für mich ist das Zend Framework nicht tragbar. Um dort irgendwas zu erreichen, muss man eine irre komplexe, verschachtelte Arraystruktur aufbauen. Jede Menge Schlüssel, die man wissen oder nachschlagen muss, sind da als String anzugeben. IDEs können da nicht mit Autovervollständigen helfen - na, vielleicht gibts spezielle Module dafür.

        Ich sehe bei Zend\Authentication nur die Adapter-Konfiguration, die als Array übergeben wird, der Rest der API ist typ-annotiert. Die Array-Konfiguration ist zwar nicht schön, aber für mich noch kein Totschlagargument.

        Es gibt jedenfalls genügend Listen mit Frameworks für PHP. Mein Favorit ist derzeit Slim, ein Microframework.

        Das spricht mich auf den ersten Blick auch an, hat was von express.js für PHP. Nur finde ich da in der Doku nichts über Authentication.

    2. problematische Seite

      Danke für die Tipps.

      Dann werde ich mich wohl mal bei Symfony umgucken, obwohl ich kein Fan von solchen "großen" Frameworks bin.

      1. problematische Seite

        Dann werde ich mich wohl mal bei Symfony umgucken, obwohl ich kein Fan von solchen "großen" Frameworks bin.

        In dem Fall musst du nicht das komplette Symfony-Framework benutzen, das Authentication-Modul läuft auch eigenständig. Übrigens gilt das auch für das Zend-Framework.

  2. problematische Seite

    In dem Artikel steht:

    sondern den Einsatz von erprobten Frameworks empfehlen

    Ist ja auch unsinnig diese Empfehlung. Wer solche Empfehlungen gibt, kann das Schreiben von Artikeln auch gleich sein lassen. Wenn man schon auf erprobte Frameworks hinweist, sollte man im eigenen Artikel wenigstens erklären können, wie das Loginsystem konkret in diesem erprobten Framework realisiert ist -- Also von Allgemeinen zum Besonderen.

    Allgemein: Grundlage für Loginsysteme ist eine Session. Und eine Solche auszuhandeln ist Sache des Hypertext Transfer Protocol HTTP.

    MfG

    1. problematische Seite

      Aus den, den eingeweihten Personen bekannten Gründen halte ich mich aus der inhaltlichen Diskussion zu "Login-System" raus.

      Allerdings gebe ich das Statement ab, dass ich mich der negativen Beurteilung der Meinungsäußerung nicht anzuschließen vermag. Mindestens die Äußerung

      "Wenn man schon auf erprobte Frameworks hinweist, sollte man im eigenen Artikel wenigstens erklären können, wie das Loginsystem konkret in diesem erprobten Framework realisiert ist -- Also von Allgemeinen zum Besonderen."

      hat, als Meinung, sehr viel Richtiges.

      1. problematische Seite

        Aus den, den eingeweihten Personen bekannten Gründen halte ich mich aus der inhaltlichen Diskussion zu "Login-System" raus.

        Allerdings gebe ich das Statement ab, dass ich mich der negativen Beurteilung der Meinungsäußerung nicht anzuschließen vermag. Mindestens die Äußerung

        "Wenn man schon auf erprobte Frameworks hinweist, sollte man im eigenen Artikel wenigstens erklären können, wie das Loginsystem konkret in diesem erprobten Framework realisiert ist -- Also von Allgemeinen zum Besonderen."

        hat, als Meinung, sehr viel Richtiges.

        Ja, Mindestens. Und was sich aus dem Rest wieder entwickelt sehen wir 😉

        Schönes Wochenende.

  3. problematische Seite

    Ingteressant und sicherheitstechnisch relevant ist u.a. die Frage, wer die Session-ID initial vorgibt. Auf diese Frage wird in Eurem Artikel gar nicht eingegangen. MfG

    1. problematische Seite

      Tach!

      Ingteressant und sicherheitstechnisch relevant ist u.a. die Frage, wer die Session-ID initial vorgibt. Auf diese Frage wird in Eurem Artikel gar nicht eingegangen.

      Warum das relevant und interessant sei sollte, darauf gehst du in deiner Anmerkung auch nicht ein.

      dedlfix.

      1. problematische Seite

        Tach!

        Ingteressant und sicherheitstechnisch relevant ist u.a. die Frage, wer die Session-ID initial vorgibt. Auf diese Frage wird in Eurem Artikel gar nicht eingegangen.

        Warum das relevant und interessant sei sollte, darauf gehst du in deiner Anmerkung auch nicht ein.

        Eben das sollte ja euer Artikel tun. Und es ist egal wie diese Frage beanwortet wird, sie kommt so oder so und so würde man ohnehin erwarten daß euer Artikel dieser Frage nachgeht.

        Schöner Sonntag.

        1. problematische Seite

          Hallo,

          Schöner Sonntag.

          Häh, wieso das denn? Es regnet!

          Gruß
          Kalk

    2. problematische Seite

      Hello,

      wie könnte eine Client eine Session-ID vorgeben?
      Die Daten werden doch vom Server gehalten, also muss auch dieser diese zuordnen können und Dubletten bei der Namensvergabe/Tokenvergabe für die Session verhindern.

      Der Client kann bestenfalls ein (einmaliges) Handshake-Token vorgeben. Oder?

      Liebe Grüße
      Tom S.

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. problematische Seite

        Lieber Tom,

        die Frage ob der Client die SID initial erstellen darf oder ob das serverseitig erfolgt über eine zentrale Verwaltung, sollte ein Fachartikel zu diesem Thema auf jeden Fall beantworten. Und wenn man selbst ein solches System betreibt, sollte man den genauen Ablauf schon kennen, insbesondere wenn jemand in das System eingedrungen ist.

        Wenn jemand in Deine Wohnung reinkommt, wirst Du Dich sicher auch fragen ob er den Schlüssel von Dir bekommen hat oder ob er sich selbst einen angefertigt hat.

        Schöne Grüße.

        1. problematische Seite

          Hello,

          Wenn jemand in Deine Wohnung reinkommt, wirst Du Dich sicher auch fragen ob er den Schlüssel von Dir bekommen hat oder ob er sich selbst einen angefertigt hat.

          Vollkommen unerheblich, ob der den von mir bezogenen Originalschlüssel kopiert hat, oder ob mein Schlüsseldienst/Schlosser/Webserver den von ihm gefertigten unerlaubt an Andere weitergegeben hat.

          Wer den Schlüssel aus der Hand gegeben hat, steht an der Kopie nicht dran.

          Ein verlässliches Protokoll der Übergabe und sofortigen (geheimen) Mutation wäre dafür Voraussetzung.

          Liebe Grüße
          Tom S.

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
          1. problematische Seite

            Ha,

            Wer den Schlüssel aus der Hand gegeben hat, steht an der Kopie nicht dran.

            Aber das Original hat ein Herstellungsdatum. Wenn ein Eindringen vor diesem Datum erfolgte, wissen wir zumindest, daß dabei der Schlüssel keine Rolle gespielt haben kann.

            Freundschaft 😉