| | | | |
10.03.2006, 14:15
| |
| Gast
Beiträge: n/a
|  Sicheres Login System? Hallo, ich bin schon wieder dabei ein Login System zu machen und hab dafür ne Funktion geschrieben, die üperprüft ob die Daten korrekt sind. Naja jetzt will ich nur mal wissen ob das sicher ist. Script sieht so aus: 1. Beim einloggen werden PW und Username überprüft 2. Beim erfolgreichen Login wird der username und die userid in eine session gespeichert 3. Ebenfalls wird die Loginzeit als timestamp in die db übergeben Zur Überprüfung ob man noch eingelogt ist gehe ich wie folgt vor: 1. Sessionid + Loginzeit von DB bezogen 2. Sollte Loginzeit länger als 30 minuten zurück oder die sessionid nicht zum Usernamen und der Userid passen, ist man nicht eingeloggt...ansonsten schon Jetzt zu meinen Fragen zur Sicherheit: 1. Kann theoretisch nicht jeder wenn er die Sid besitzt in den Account von einem User 2. Soll ich besser auch das PW md5 verschlüsselt mit in die Session legen und überprüfen, da man so neben der Sid auch das PW braucht? 3. Gibt es irgendwelche bessern Sicherheitsmaßnahmen auf die ich im Moment nicht komme  Hoffe das ist relativ schlüssig Danke goosele |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
10.03.2006, 14:44
| |
| Erfahrener Benutzer Registriert seit: 21.08.2003
Beiträge: 468
  | zu 2 schon mal. Das Passwort wird nirgends im klartext abgelegt. In der der DB und auch in der Session wenn gwollte sollte es auf jeden fall als Hash stehen. Wenn register_globals auf off ist kann man wenn du ohne _SESSION arbeitest schnell mal irgentwo rein kommen. Deswegen umbedingt mit _SESSION Die Session dauer brauchste nicht mit einem timestamp abfragen. Gibt es schon eine Funktion für glaub ich die angibt wie lange die Session leben darf. Beste, Tim
__________________ Typo3 Suchmaschinenoptimierung <- alles Rund um SEO mit Typo3 |
|
|
10.03.2006, 14:52
| |
| Erfahrener Benutzer Registriert seit: 02.04.2008
Beiträge: 2.603
 | Sessions und Sicherheit:  http://forum.developers-guide.net/showthread.php?t=2961 http://de2.php.net/manual/en/ref.session.phpUnd hier vielleicht auch mal reinschauen: http://www.php-faq.de/ch/ch-version4_session.html |
|
|
|
10.03.2006, 15:02
| |
| Gast
Beiträge: n/a
| zu 3: eine alternative die nicht von sessions abhängig ist wäre HTTP Auth Wobei ich denke dass deine Lösung ausreichen sollte. Wenn man nicht gerade hochsensible daten schützen muss. |
|
10.03.2006, 15:52
| |
| Gast
Beiträge: n/a
| Ne geht um ein Browser-Game....will nur verhindern, dass irgendwelche Script-Kiddies sich überall einloggen können und das so zu deren Vorteil ausnutzen können Gegen professionalle Hacker kann ich sowieso nix machen *g* @Spyker PW wird in der DB schon als md5 gespeichert, hatte nur überlegt ob ich es nochmal als hash in einer session ablegen sollte oder nicht.... Die Sessionslebensdauer hab ich schon definiert, bracuhe die Loginzeit aber sowieso wegen Statistik |
|
10.03.2006, 15:56
| ||
| Erfahrener Benutzer  Registriert seit: 12.08.2005
Beiträge: 437
| Zitat:
 | |
|
|
|
10.03.2006, 15:57
| |
| Erfahrener Benutzer Registriert seit: 21.12.2004
Beiträge: 5.235
PHP-Kenntnisse: Fortgeschritten  | "Professionelle Hacker" sind ein Mythos und die wenigen, die es gibt, interessieren sich 0 für ein Browsergame.
__________________ www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih |
|
|
10.03.2006, 15:59
| |
| Gast
Beiträge: n/a
| Ich weiss Das war ja was ich meinte...ich wollte halt nicht jedem Noob die Möglichkeit geben, sich in andere Accs zu hacken.Aber scheint ja anscheinend sicher genug zu sein |
|
10.03.2006, 16:12
| |
| Erfahrener Benutzer Registriert seit: 21.12.2004
Beiträge: 5.235
PHP-Kenntnisse: Fortgeschritten | Sessions zu erraten ist eine Hürde, an der viele "selbsternannte" Hacker garantiert scheitern werden. Wenn die nicht gerade per URL übergeben und anschliessend in einem Forum gepostet werden, sondern beispielsweise per Cookie, ist das von aussen relativ sinnlos.
__________________ www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih |
|
|
|
10.03.2006, 16:14
| |
| Gast
Beiträge: n/a
| Naja wollte die sessionids schon per browser übergeben haben ja nicht alle Cookies |
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Login System | matii | PHP Tipps 2008 | 6 | 16.04.2008 11:35 |
| Login System Probleme ! | 7Style | PHP Tipps 2008 | 2 | 07.01.2008 13:55 |
| Problem mit meinem Login System | DJ Nuno | PHP Tipps 2008 | 9 | 16.10.2007 16:44 |
| Etwas komplexerer Login --> Keine Angst, Suche benutzt | dethlef14 | PHP Tipps 2006 | 7 | 02.10.2006 00:35 |
| Session Logout Login Navigation | TailerD | PHP Tipps 2006 | 10 | 24.06.2006 17:12 |
| Sicheres Login Script mit automatischer Rückanmeldung | Pain-maker | PHP Tipps 2006 | 6 | 15.02.2006 16:13 |
| phpBB Loginscript in eigenes Login Script einbinden | 2wuck | PHP Tipps 2007 | 4 | 19.12.2005 23:10 |
| Problem mit Login Script | PHP Tipps 2007 | 4 | 15.11.2005 17:29 | |
| Login System für die eigene HP? | Datenbanken | 1 | 05.10.2005 19:48 | |
| [Erledigt] Login, LogIn, Anmelden, Einloggen -&amp;amp;amp;gt; ??? | Off-Topic Diskussionen | 20 | 14.07.2005 11:01 | |
| [Erledigt] Windows XP Login Namen verwenden? | PHP-Fortgeschrittene | 14 | 17.03.2005 15:37 | |
| login mit session id | PHP Tipps 2005 | 10 | 26.01.2005 12:32 | |
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.
