Ankündigung

Einklappen
Keine Ankündigung bisher.

Verschlüsselung

Einklappen

Neue Werbung 2019

Einklappen
Dieses Thema ist geschlossen.
X
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Verschlüsselung

    Hallo,

    ich habe mal wieder eine Frage..

    Und zwar muss ich ein Passwort in einem Cookie speichern.
    Nun wollte ich aber das Passwort nicht im Klartext dort speichern, da es zu unsicher ist.
    Da ich das Passwort aber nachher im Klartext benötige (also unverschlüsselt, ohne MD5, Crypt,..) wollte ich fragen, ob ihr eine Idee habt, wie ich es am besten so verschlüsseln kann, dass ich es nachher auch wieder entschlüsseln kann.

    Ich würde mich über ein kleines Beispiel, falls ihr eine Idee habt, sehr freuen.


    Mit freundlichen Grüßen,
    hypers

  • #2
    in nem cookie hat ein passwort nix zu sucehn, nimm sessions.
    [URL="http://www.robo47.net"]robo47.net[/URL] - Blog, Codeschnipsel und mehr
    | :arrow: [URL="http://www.robo47.net/blog/192-Caching-Libraries-and-Opcode-Caches-in-php-An-Overview"]Caching-Klassen und Opcode Caches in php[/URL] | :arrow: [URL="http://www.robo47.net/components"]Robo47 Components - PHP Library extending Zend Framework[/URL]

    Kommentar


    • #3
      denn was machst du wenn der user cookies deaktiviert hat?!
      "die Mitte des Textes kann ja theor. mitten in einem Text liegen"

      :arrow: [url]http://www.jagr.de/[/url]

      Kommentar


      • #4
        Hallo,

        ich speichere das Passwort in Sessions. Das mit den Cookies brauche ich nur für einen Autologin.
        Also bitte nicht kritisieren, es hat schon seinen Sinn


        mfg hypers

        Kommentar


        • #5
          ja und? da hat ein passwort nix drin zu suchen. die SessionID von mir aus und gut ist, damit das ganze nachvollzogen werden kann.
          [URL="http://www.robo47.net"]robo47.net[/URL] - Blog, Codeschnipsel und mehr
          | :arrow: [URL="http://www.robo47.net/blog/192-Caching-Libraries-and-Opcode-Caches-in-php-An-Overview"]Caching-Klassen und Opcode Caches in php[/URL] | :arrow: [URL="http://www.robo47.net/components"]Robo47 Components - PHP Library extending Zend Framework[/URL]

          Kommentar


          • #6
            aber wie soll ich es sonst beim autologin machen? denn ich brauche das pw unverschlüsselt an einer stelle (da ist nichts anderes zu machen). also werde ich es irgendwie im cookie verschlüselt speichern müssen, sodass ich es aber auch wieder entschlüsseln kann.

            Kommentar


            • #7
              je nach system ob du db-basierende sessions hast oder nicht
              -> SessionID in einer Tabelle speichern, dass sie beim nächsten mal wenn der user kommt noch bekannt ist
              -> diese ID in einem lang lebenden cookie speichern (nicht der standardsessioncookie)
              alles andere ist meiner meinung nach schwachfug und unsicher :P

              mfg
              robo47
              [URL="http://www.robo47.net"]robo47.net[/URL] - Blog, Codeschnipsel und mehr
              | :arrow: [URL="http://www.robo47.net/blog/192-Caching-Libraries-and-Opcode-Caches-in-php-An-Overview"]Caching-Klassen und Opcode Caches in php[/URL] | :arrow: [URL="http://www.robo47.net/components"]Robo47 Components - PHP Library extending Zend Framework[/URL]

              Kommentar


              • #8
                Autologin finde ich zwar ziemlich ...mistig, aber egal.
                phpB z.B. speichert den md5-Hash des Passworts im cookie.
                Wird mit der Anfrage ein entsprechender Keks gesendet, überprüft phpBB direkt diesen Wert mit dem in der DB hinterlegten. -Deshalb ist es auch kein kleines Problem, wenn bei phpBB eine sql-injection herauskommt, mit der man die md5-hashes auslesen kann-

                Kommentar


                • #9
                  Zitat von VolkerK
                  Autologin finde ich zwar ziemlich ...mistig, aber egal.
                  phpB z.B. speichert den md5-Hash des Passworts im cookie.
                  Ist das jetzt neu?
                  Letztens, als das Forum gehackt wurde, kam da was ganz anderes raus, was tatsächlich im Cookie beim Autologin steht.

                  PHP-Code:
                  <?php
                  print_r
                  (unserialize($_COOKIE["phpbb2mysql_data"]));
                  ?>
                  Code:
                  Array
                  (
                      [autologinid] => 
                      [userid] => -1
                  )
                  Finger weg!

                  Kommentar


                  • #10
                    oki...danke für euere meinungen, kann dann geclosed werden.

                    Kommentar


                    • #11
                      meikel: Hast Du autologin bei Dir eingestellt?

                      session.php:
                      PHP-Code:
                      <?php
                      ...
                      function 
                      session_begin($user_id$user_ip$page_id$auto_create 0$enable_autologin 0)
                      ...
                          if ( 
                      $user_id != ANONYMOUS )
                          {
                              
                      $auto_login_key $userdata['user_password'];

                              if ( 
                      $auto_create )
                              {
                                  if ( isset(
                      $sessiondata['autologinid']) && $userdata['user_active'] )
                                  {
                                      
                      // We have to login automagically
                                      
                      if( $sessiondata['autologinid'] === $auto_login_key )
                                      {
                                          
                      // autologinid matches password
                                          
                      $login 1;
                                          
                      $enable_autologin 1;

                      ...
                      ?>
                      nocheinmal hervorgehoben:
                      $auto_login_key = $userdata['user_password']; <- das ist das md5-Feld aus der Benutzertabelle
                      $sessiondata['autologinid'] === $auto_login_key <- $sessiondata ist das aus dem cookie gewonnene Feld

                      Kommentar


                      • #12
                        Der Beitrag wurde geschlossen, wegen...
                        ... auf Wunsch des Threaderöffners / der Threaderöffnerin.

                        closed
                        mod = master of disaster

                        Kommentar

                        Lädt...
                        X