| | | | |
| |||||||
| PHP-Fortgeschrittene Arbeiten mit PHP ohne Einschränkungen |
 |
| | LinkBack | Themen-Optionen | Thema bewerten |
09.12.2004, 09:09
| |
| Gast
Beiträge: n/a
|  [Erledigt] Automatische Anmeldung per Cookie Hallo, folgendes Szenario: Ein Benutzer kann sich an einer Webseite anmelden. Für diese Webseite gibt es die Option eines "Komfortlogin", d.h. beim nächsten Besuch der Webseite ist eine Anmeldung nicht mehr notwendig. Technik: Für den "Komfortlogin" soll ein Cookie gesetzt werden, in dem sich der Username und das Passwort befinden. Beides natürlich verschlüsselt. Bei Aufruf der Webseite werden beide Inhalte ausgelesen und es findet eine automatische Anmeldung statt. Das Passwort ist in der Datenbank MD5-Verschlüsselt. Bei der Anmledung wird das Passwort nach MD5 verschlüsselt und verglichen. Meine Frage: Wie bekomme ist das Passwort im Cookie so verschlüsselt, das ich es wieder entschlüsseln kann um dann eine sichere Anmeldung durchzuführen? Welche Verfahren sind die sichersten? oder Wie macht Ihr so etwas? Dank im voraus |
 |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
09.12.2004, 09:16
| |
| Moderator  Registriert seit: 03.09.2004
Beiträge: 11.792
PHP-Kenntnisse: Fortgeschritten   | vergelich doch das verschlüsselte mit dem verschlüsslten im Cookie? md5 kannst du nicht entschlüsseln, weil es ein hash-wert erstellt und der ist nicht 100% eindeutig, sprich es kann mehr als einen wert geben der den gleichen hashwert hat. also wenn du in der datenbnak und im cookie md5 bentutz dürfte das alles kein problem sein
__________________ robo47.net - Blog, Codeschnipsel und mehr |  Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework |
| |
|
09.12.2004, 09:20
| |
| Gast
Beiträge: n/a
| wenn du irgendwas wieder entschlüsseln willst, haste sinn und zweck des ganzen schon mal nicht verstanden. meistens wird md5 oder auch sha1 zum "verschlüsseln" benutzt .. und da es sich da um eine einweg-verschlüsselung handelt: man verschlüsselt alles und vergleicht das verschlüsselte mit dem verschlüsselten. das muss ja identisch sein, wenn der ausgangsstrich richtig war .. |
| |
|
09.12.2004, 09:21
| |
| Gast
Beiträge: n/a
| Ich möchte das Passwort nicht als MD5-Verschlüsselung speichern, da es sich dann nicht um eine korrekte Anmeldung handelt, wenn ich das Cookie-PW einfach mit dem Datenbank-PW vergleiche. Ich möchte die Eingabe in ein Formular über den Cookie simulieren, das heißt ich muss das PW im Original aus dem Cookie ziehen können, d.h. ich brauche ein sicheres Verfahren für diese Idee |
| |
|
09.12.2004, 09:46
| |
| Moderator Registriert seit: 03.09.2004
Beiträge: 11.792
PHP-Kenntnisse: Fortgeschritten | du musst ja nicht mit den daten beim comfortlogin arbeiten die du bei einem normalen login brauchst. einfach anstatt einer cookie-variable für username und password, das : md5($username.$password.$registrierungsdatum); benutzen oder was ähnliches und das als cookiekey oder so speichern bzw beim aufruf mit einem cookie aus den daten in der DB zusammenstellen, so hast du im cookie etwas stehen, womit man noch weniger anfangen kann als mit nem md5-verschlüsselten Passwort oder benutzername. hoffe das geht so in die richtung was du meinst, weil egal was du beim user im cookie speicherst und irgendwie wieder entschlüsselbar ist, ist einfach nicht sicher, daran lässt sich nichts ändern. mfg robo47
__________________ robo47.net - Blog, Codeschnipsel und mehr | Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework |
|
| |
|
09.12.2004, 09:48
| ||
| Moderator Registriert seit: 03.09.2004
Beiträge: 11.792
PHP-Kenntnisse: Fortgeschritten | Zitat:
ich verstehe nicht ganz warum du unbedingt ein login über ein forumular simulieren willst, obwohl es das ja eignetlich garnicht ist.
__________________ robo47.net - Blog, Codeschnipsel und mehr | Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework | |
|
| |
|
09.12.2004, 09:51
| |
| Gast
Beiträge: n/a
| Ich habe da einfach Zweifel, wenn ich den Login-Mechanismus umgehe und im Cookie andere Daten speichere um den Komfortlogin durchzuführen, das das System dann noch sicher ist, den solche Daten können simuliert werden! Eine Idee war einfach die UserID, die jeder in der Datenbank hat zu speichern und darüber den Login zu machen, das ist sehr einfach und funktioniert auch wunderbar. Ist halt nur eine Zahl... |
| |
|
09.12.2004, 09:58
| |
| Gast
Beiträge: n/a
| Noch etwas: Ich halte den DIREKTEN vergleich von Daten im Cookie mit Daten aus einer Datenbank für potentiell Unsicher, ohne das da ein Verfahren dazwischen hängt, das eine relative Sicherheit bietet um die Daten eines Benutzers wirklich zu schützen. |
| |
|
09.12.2004, 10:08
| |
| Moderator Registriert seit: 03.09.2004
Beiträge: 11.792
PHP-Kenntnisse: Fortgeschritten | d.h. aber gleichzeitig, dass es unsicher ist, weil du in irgendeiner Form die Daten im Cookie speicherst, wenns eh ein closed source system ist, wirds dadurch, dass du für den cookie einen speziellen key generiest eigentlich nur etwas sicherer, weil keiner weis aus was er zusammengesetzt ist, aber auf seiten des users, der das cookie hat, wirst du nie sonderlich sicher arbeiten können. und es macht eigentlich keinen unterschied ob du jetzt irgendwas md5-verschlüsseltes im cookie speicherst oder es sonstwie verschlüsselst, md5 hat den vorteil, dass man nur brute mfg robo47
__________________ robo47.net - Blog, Codeschnipsel und mehr | Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework |
|
| |
|
09.12.2004, 10:10
| ||
| Moderator Registriert seit: 03.09.2004
Beiträge: 11.792
PHP-Kenntnisse: Fortgeschritten | Zitat:
md5($username.$password.$registrierungsdatum); wäre ja z.b. ein weg das zu umgehen, was du jetzt alles da reinpackst und ob du md5, sha1 oder sontwas bentutz ist eignetlich egal, aber es bietet dir auf jeden fall eine möglichkeit dir etwas zusammenzusetzen, was du im script dann wieder aus der datenbank zusammensetzen kannst. mfg robo47
__________________ robo47.net - Blog, Codeschnipsel und mehr | Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework | |
|
| |
| |
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Cookie löschen funktioniert nicht | GSJLink | PHP Tipps 2007 | 2 | 24.01.2007 14:55 |
| Cookie setzen bei Subdomain mit Unterzeichen! | horvath-media | PHP Tipps 2006 | 5 | 27.05.2006 16:41 |
| automatische anmeldung?! | PHP Tipps 2006 | 9 | 07.03.2006 15:59 | |
| [Erledigt] Autologin mit Cookie, wie? Beste Lösung? | PHP-Fortgeschrittene | 17 | 16.02.2006 14:03 | |
| Cookie setzten funktioniert nicht!? | nicobischof | PHP Tipps 2006 | 13 | 06.01.2006 13:38 |
| Login, Cookie | PHP Tipps 2005-2 | 3 | 19.07.2005 17:44 | |
| Noob Cookie Prob | CrackPod | PHP Tipps 2005-2 | 11 | 18.07.2005 20:56 |
| Cookie | DER_Brain | PHP Tipps 2005-2 | 4 | 27.06.2005 17:49 |
| Cookie löschen | tomtaz | PHP Tipps 2005-2 | 3 | 06.06.2005 20:50 |
| bitte um hilfe wegen cookie() und header() | d4rki | PHP Tipps 2005 | 2 | 21.04.2005 19:45 |
| [Erledigt] cookie funkioniert nur von einer bestimmten Seite | PHP Tipps 2005 | 2 | 19.04.2005 07:41 | |
| cookie wird nicht gesetzt - ( vorher KEINE ausgabe ) | PHP Tipps 2005 | 4 | 14.02.2005 13:34 | |
| Cookie / localhost / Problem gelöst | PHP-Fortgeschrittene | 11 | 02.11.2004 22:41 | |
| eval und Cookie | PHP Tipps 2004 | 4 | 27.10.2004 23:00 | |
| [Erledigt] cookie bei erster aktualisierung auslesen... | PHP Tipps 2004 | 3 | 09.06.2004 09:58 | |
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.
![[Erledigt] Automatische Anmeldung per Cookie](http://www.php.de/iconimages/php-fortgeschrittene/erledigt-automatische-anmeldung-per-cookie_ltr.gif)
