Titel: sicheres Login/Userverwaltung
Beitrag von: mio am 12. Januar 2006, 17:13:06
Beitrag von: mio am 12. Januar 2006, 17:13:06
Hi,
ich brauche dringend ein Script für ein sicheres Login mit php und MySQL Datenbank (Userverwaltung). Das Login soll mit session realisiert werden. Es sollen keine Cookies oder session Daten lokal beim User (Client) gespeichert werden. Session Daten sollen ausschließlich auf dem Server verbleiben. Kennt jemand so ein Script? Ich weiß, das es sowas gibt, finde aber im Netz nichts, was zu mir passt ....
ich brauche dringend ein Script für ein sicheres Login mit php und MySQL Datenbank (Userverwaltung). Das Login soll mit session realisiert werden. Es sollen keine Cookies oder session Daten lokal beim User (Client) gespeichert werden. Session Daten sollen ausschließlich auf dem Server verbleiben. Kennt jemand so ein Script? Ich weiß, das es sowas gibt, finde aber im Netz nichts, was zu mir passt ....
Titel: sicheres Login/Userverwaltung
Beitrag von: moonlight am 12. Januar 2006, 18:06:08
Beitrag von: moonlight am 12. Januar 2006, 18:06:08
Da stellt sich die Frage ob Du das Script von Powie für unsicher hältst. Die Funktion zum Cookies speichern lässt sich ja abschalten.
Titel: sicheres Login/Userverwaltung
Beitrag von: m0rgu3 am 12. Januar 2006, 21:19:21
Beitrag von: m0rgu3 am 12. Januar 2006, 21:19:21
Wenn du aber die Cookies abschaltest speichert es auch keine Sessions mehr...
Titel: sicheres Login/Userverwaltung
Beitrag von: legato am 12. Januar 2006, 21:44:06
Beitrag von: legato am 12. Januar 2006, 21:44:06
Original von M0rGu3 Wenn du aber die Cookies abschaltest speichert es auch keine Sessions mehr...
[/quote]
Ich bin etwas aus der Übung was PHP angeht, aber AFAIK bleibt die Session erhalten, wenn man die SESSIONID konsequent in der URL mitführt. Dann werden auch keine Cookies gelegt. Korrigiert mich wenn ich falsch liege...
Titel: sicheres Login/Userverwaltung
Beitrag von: Powie am 12. Januar 2006, 21:49:49
Beitrag von: Powie am 12. Januar 2006, 21:49:49
normalerweise bei richtiger Konfiguration übernimmt PHP das anhängen der Session ID an alle URLS von selbst wenn Cookies nichts gesetzt werden können.
Titel: sicheres Login/Userverwaltung
Beitrag von: sabre am 12. Januar 2006, 21:55:49
Beitrag von: sabre am 12. Januar 2006, 21:55:49
Jo, nur dass ich die Session-ID in der Url eigentlich sicherheitstechnisch für bedenklicher halte, als Session-Cookies.
Die meisten User posten die Session halt gleich mit, wenn sie mal ne Url der Seite irgendwo posten. Ich glaube die meisten Scripte checken das nicht, wenn die Session plötzlich von nem anderen Übernommen wird...
Die meisten User posten die Session halt gleich mit, wenn sie mal ne Url der Seite irgendwo posten. Ich glaube die meisten Scripte checken das nicht, wenn die Session plötzlich von nem anderen Übernommen wird...
Titel: sicheres Login/Userverwaltung
Beitrag von: mahe am 12. Januar 2006, 23:11:22
Beitrag von: mahe am 12. Januar 2006, 23:11:22
Kannst du auch nur per IP checken.
Und da hast du dann das Problem wenn zB eine Firma mehrere Proxys hat -> der User kann bei jedem Aufruf über eine andere IP kommen (ist bei mir @work so)
Und da hast du dann das Problem wenn zB eine Firma mehrere Proxys hat -> der User kann bei jedem Aufruf über eine andere IP kommen (ist bei mir @work so)
Titel: sicheres Login/Userverwaltung
Beitrag von: m0rgu3 am 13. Januar 2006, 20:07:38
Beitrag von: m0rgu3 am 13. Januar 2006, 20:07:38
Also ich denke auch, dass die Session-ID\'s bedenklicher sind... ich hab auch nen Haufen Cookies bei mir rumliegen ![](\"<___base_url___)
/uploads/emoticons/icon_e_surprised.gif.a8707b3f35a569cb4cfe563fc72ef78d.gif\" alt=\":-o\" />
Titel: sicheres Login/Userverwaltung
Beitrag von: mahe am 13. Januar 2006, 22:30:06
Beitrag von: mahe am 13. Januar 2006, 22:30:06
relativ, das hängt meiner Meinung nach vom Verwendungszweck ab /uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />