Verschlüsselung

30.05.2005, 14:45

Hallo,

ich habe mal wieder eine Frage..

Und zwar muss ich ein Passwort in einem Cookie speichern.
Nun wollte ich aber das Passwort nicht im Klartext dort speichern, da es zu unsicher ist.
Da ich das Passwort aber nachher im Klartext benötige (also unverschlüsselt, ohne MD5, Crypt,..) wollte ich fragen, ob ihr eine Idee habt, wie ich es am besten so verschlüsseln kann, dass ich es nachher auch wieder entschlüsseln kann.

Ich würde mich über ein kleines Beispiel, falls ihr eine Idee habt, sehr freuen.

Mit freundlichen Grüßen,
hypers

robo47 · 30.05.2005, 14:53

in nem cookie hat ein passwort nix zu sucehn, nimm sessions.

Orolhawion · 30.05.2005, 14:54

denn was machst du wenn der user cookies deaktiviert hat?!

30.05.2005, 14:57

Hallo,

ich speichere das Passwort in Sessions. Das mit den Cookies brauche ich nur für einen Autologin.
Also bitte nicht kritisieren, es hat schon seinen Sinn

mfg hypers

robo47 · 30.05.2005, 15:14

ja und? da hat ein passwort nix drin zu suchen. die SessionID von mir aus und gut ist, damit das ganze nachvollzogen werden kann.

30.05.2005, 15:20

aber wie soll ich es sonst beim autologin machen? denn ich brauche das pw unverschlüsselt an einer stelle (da ist nichts anderes zu machen). also werde ich es irgendwie im cookie verschlüselt speichern müssen, sodass ich es aber auch wieder entschlüsseln kann.

robo47 · 30.05.2005, 15:31

je nach system ob du db-basierende sessions hast oder nicht
-> SessionID in einer Tabelle speichern, dass sie beim nächsten mal wenn der user kommt noch bekannt ist
-> diese ID in einem lang lebenden cookie speichern (nicht der standardsessioncookie)
alles andere ist meiner meinung nach schwachfug und unsicher :P

mfg
robo47

30.05.2005, 15:31

Autologin finde ich zwar ziemlich ...mistig, aber egal.
phpB z.B. speichert den md5-Hash des Passworts im cookie.
Wird mit der Anfrage ein entsprechender Keks gesendet, überprüft phpBB direkt diesen Wert mit dem in der DB hinterlegten. -Deshalb ist es auch kein kleines Problem, wenn bei phpBB eine sql-injection herauskommt, mit der man die md5-hashes auslesen kann-

30.05.2005, 16:03

Zitat:

Zitat von VolkerK

Autologin finde ich zwar ziemlich ...mistig, aber egal.
phpB z.B. speichert den md5-Hash des Passworts im cookie.

Ist das jetzt neu?

Letztens, als das Forum gehackt wurde, kam da was ganz anderes raus, was tatsächlich im Cookie beim Autologin steht.

PHP-Code:

  <?php

print_r(unserialize($_COOKIE["phpbb2mysql_data"]));

?>

Code:

Array
(
    [autologinid] => 
    [userid] => -1
)

Finger weg!

30.05.2005, 16:48

oki...danke für euere meinungen, kann dann geclosed werden.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

30.05.2005, 14:45
Gast Beiträge: n/a	Verschlüsselung Hallo, ich habe mal wieder eine Frage.. Und zwar muss ich ein Passwort in einem Cookie speichern. Nun wollte ich aber das Passwort nicht im Klartext dort speichern, da es zu unsicher ist. Da ich das Passwort aber nachher im Klartext benötige (also unverschlüsselt, ohne MD5, Crypt,..) wollte ich fragen, ob ihr eine Idee habt, wie ich es am besten so verschlüsseln kann, dass ich es nachher auch wieder entschlüsseln kann. Ich würde mich über ein kleines Beispiel, falls ihr eine Idee habt, sehr freuen. Mit freundlichen Grüßen, hypers


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

30.05.2005, 14:53
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.798 PHP-Kenntnisse: Fortgeschritten	in nem cookie hat ein passwort nix zu sucehn, nimm sessions. __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

30.05.2005, 14:54
Orolhawion Erfahrener Benutzer Registriert seit: 25.02.2004 Beiträge: 1.524	denn was machst du wenn der user cookies deaktiviert hat?! __________________ "die Mitte des Textes kann ja theor. mitten in einem Text liegen" http://www.jagr.de/

30.05.2005, 14:57
Gast Beiträge: n/a	Hallo, ich speichere das Passwort in Sessions. Das mit den Cookies brauche ich nur für einen Autologin. Also bitte nicht kritisieren, es hat schon seinen Sinn mfg hypers

30.05.2005, 15:14
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.798 PHP-Kenntnisse: Fortgeschritten	ja und? da hat ein passwort nix drin zu suchen. die SessionID von mir aus und gut ist, damit das ganze nachvollzogen werden kann. __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

30.05.2005, 15:20
Gast Beiträge: n/a	aber wie soll ich es sonst beim autologin machen? denn ich brauche das pw unverschlüsselt an einer stelle (da ist nichts anderes zu machen). also werde ich es irgendwie im cookie verschlüselt speichern müssen, sodass ich es aber auch wieder entschlüsseln kann.

30.05.2005, 15:31
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.798 PHP-Kenntnisse: Fortgeschritten	je nach system ob du db-basierende sessions hast oder nicht -> SessionID in einer Tabelle speichern, dass sie beim nächsten mal wenn der user kommt noch bekannt ist -> diese ID in einem lang lebenden cookie speichern (nicht der standardsessioncookie) alles andere ist meiner meinung nach schwachfug und unsicher :P mfg robo47 __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

30.05.2005, 16:48
Gast Beiträge: n/a	oki...danke für euere meinungen, kann dann geclosed werden.