User erkennen (ohne session + ohne cookies + prob mit IP)

17.02.2005, 15:54

salut!

steh vor folgendem problem:

wir haben ne community und jeder user ne nickpage drauf

nickpage kann man später mit http://url.de/content/nickpage.php?user=username aufrufen.
soweit bissl damit ihr euch bissl was zamdenken könnt

so beispiel:
1. wir loggen uns in der community ein (simples)
- passwort
- username
- $loggedin=1

bei jedem klick wird in der datenbank "lastinteract" mit dem aktuellen timesetamp gesetzt. nach 30 minuten inaktivität fliegt man raus.

naja soweit noch bissl unnützes geschwafel. wenn ich nu in der community eingeloggt bin, und will seperat n andres fenster öffnen und auf die nickpage von user xy gehen, bin ich dort natürlich nicht eingeloggt. bzw ich hab keine ahnung wie ich prüfen könnte, ob der user im system ist oder nicht.

- ist nur ein versuch komplett ohne sessions (nein wir wollen auch keine)
- an der ip will ichs nich prüfen, falls mehrere leute an nem router hängen
- kekse akzeptiert auch nicht jeder

hatte hier bereits gesucht, in machen themen wrude vorgeschlagen die "lan ip" auszulesen. haben zwar viele leute die gleiche lan ip, aba wenn man nun lan ip und die vom provider überprüfen lässt könnte man die user ja erkennen. allerdings hab ich absolut keine ahnung woher man die lan ip von nem user bekommen kann, und glaub irgendwie nich dran ob das überhaupt funktioniert.

so ^^ das wärs ;D vll versteht ja wer was ich mein.

PS: ich weiß das n login sys mit sessions um einiges einfacher, sicherer wäre und viele vorzüge hätte aber ich wollts doch auch mal so probieren.

Buhmann · 17.02.2005, 15:58

wie wärs mit sessions? *fg*

neee ohne könnte ich mir jetzt nur eine möglichkeit mit $_SERVER['REQUEST_URI']
oder username und pw jedesmal mitübergeben
oder einen "code" übergeben der jedesmal neu generiert wird und eindeutig zuordbar ist.

17.02.2005, 16:09

Zitat:

Zitat von Buhmann

... oder einen "code" übergeben der jedesmal neu generiert wird und eindeutig zuordbar ist.

folgende idee hatte ich bereits:
bei jedem login nen einzigartigen code des users in der datenbank speichern und den code jedesmal vergleichen.

z.b. so übergeben und dann den code mit dem in der db vergleichen. jo das wär ja noch easy

http://url.de/bla.php?code=2930202

geh ich nun auf

http://url.de/nickpage.php?user=username

und möchte dort checken, ob ich bereits bei bla.php eingeloggt bin, gehts ja leider nicht.

Buhmann · 17.02.2005, 16:11

ne, häng einfach an alle urls ?code=2930202 dran...

17.02.2005, 16:14

was wenn ich von irgend nem kumpel die die adresse zu ner nickpage von irgend nem user bekomm? der kennt nicht meinen code den er ranhängen muss *fg*

Thilo · 30.12.2007, 21:54

Das Thema ist vielleicht schon ein bisschen alt, aber ich finde, irgendein Lösungsansatz wäre schon nicht schlecht.

Ich suche ebenso nach einer Idee ohne Cookies. Scheint aber so, als gäbe es da kaum chancen.

Worüber ihr mit euren Codes da gerade philosophiert sind doch eigentlich Session-IDs

Mit 'nem kleinen Problem allerdings! Diese Art von Code ist ziemlich "leicht". Und mit leicht meine ich die Leichtigkeit hinsichtlich der Möglichkeit den Code von außen zu verstehen.

Jemand könnte auf diese Art und Weise sich leicht fremde Codes ausdenken. Hier und da einfach einmal ne Zahl verdreht ( bei euch sind die vielleicht sogar fortlaufend?) und schon ist man in einen fremden Account eingeloggt.
Das wäre ja ziemlich unsicher. Bedenkt übrigens, dass ihr mit einer Community eine gewisse Verantwortung tragt, da in euren Händen dann wahrscheinlich auch sensible Nutzedaten liegen.

mrcoffe · 30.12.2007, 22:58

thilo hat natürlich vollkommen Recht. Eine Fortlaufende Nummerierung oder ein Code mit nem Zahlendreher würden es sicher nicht bringen.
Wenn man jedoch den Code verschlüsselt(z.B. durch MD5,Microtime + Rand), also nicht fortlaufend o.ä. macht, dann ist die Methode von Buhmann gut zu gebrauchen und auch sicher.

brian johnson · 30.12.2007, 23:18

Zitat:

Zitat von mrcoffe

thilo hat natürlich vollkommen Recht. Eine Fortlaufende Nummerierung oder ein Code mit nem Zahlendreher würden es sicher nicht bringen.
Wenn man jedoch den Code verschlüsselt(z.B. durch MD5,Microtime + Rand), also nicht fortlaufend o.ä. macht, dann ist die Methode von Buhmann gut zu gebrauchen und auch sicher.

ihr wisst aber schon, dass das sessions sind? wenn nicht, lesen, was sessions denn überhaupt sind> http://de.wikipedia.org/wiki/Sitzung_%28Informatik%29

dr.e. · 30.12.2007, 23:35

Hier krampfhaft nach einer Lösung zu suchen, wenn es bereits eine standardisierte und breit unterstütze gibt finde ich pure Zeitverschwendung. Jungs, investiert besser Zeit in die Implementierung einer sicheren Sessionbehandlung in eurer Software, dann ist die Zeit besser genutzt. Das Rad erfindet heute auch keiner neu...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Session, Cookies, Subdomain	ayti	PHP Tipps 2008	7	29.04.2008 15:05
Session Name + Cookies		PHP Tipps 2006	2	23.02.2006 14:08
User-Account löschen während User surft mit Session		PHP Tipps 2005-2	2	20.07.2005 19:06
Session: Untersch. Seiten f. eingeloggte User und norm. User		PHP Tipps 2005-2	2	20.07.2005 12:46
User werden nicht angezeigt/aufgelistet - Session Fehler?		PHP Tipps 2005	13	25.05.2005 16:49
MIt einer Session ID den User überprüfen		PHP Tipps 2005	8	17.02.2005 13:55
User intenfication ohne Cookies und User hat temporale IP	fender	PHP Tipps 2004-2	1	15.11.2004 17:13
Session ohne Cookies		PHP Tipps 2004	0	04.11.2004 18:07
Session und Cookies?	horvath-media	PHP Tipps 2004	2	13.10.2004 16:09
Session Login funkt nicht, wenn Cookies immer aus sind	schifti	PHP-Fortgeschrittene	18	06.09.2004 07:48
Session mit/ohne Cookies - Mini Pseudocode-Fallbeispiel		PHP Tipps 2004	2	18.08.2004 14:41
Cookies, PHP und Browser - Neues Fenster neue Session	RcRaCk2k	PHP-Fortgeschrittene	2	22.06.2004 08:39
session prob		PHP Tipps 2004	1	15.06.2004 18:56
Prob beim Löschen von Cookies		PHP Tipps 2004	4	07.06.2004 20:58
Probleme mit Session ohne Cookies		PHP Tipps 2004	6	06.06.2004 15:55

17.02.2005, 15:54
Gast Beiträge: n/a	User erkennen (ohne session + ohne cookies + prob mit IP) salut! steh vor folgendem problem: wir haben ne community und jeder user ne nickpage drauf nickpage kann man später mit http://url.de/content/nickpage.php?user=username aufrufen. soweit bissl damit ihr euch bissl was zamdenken könnt so beispiel: 1. wir loggen uns in der community ein (simples) - passwort - username - $loggedin=1 bei jedem klick wird in der datenbank "lastinteract" mit dem aktuellen timesetamp gesetzt. nach 30 minuten inaktivität fliegt man raus. naja soweit noch bissl unnützes geschwafel. wenn ich nu in der community eingeloggt bin, und will seperat n andres fenster öffnen und auf die nickpage von user xy gehen, bin ich dort natürlich nicht eingeloggt. bzw ich hab keine ahnung wie ich prüfen könnte, ob der user im system ist oder nicht. - ist nur ein versuch komplett ohne sessions (nein wir wollen auch keine) - an der ip will ichs nich prüfen, falls mehrere leute an nem router hängen - kekse akzeptiert auch nicht jeder hatte hier bereits gesucht, in machen themen wrude vorgeschlagen die "lan ip" auszulesen. haben zwar viele leute die gleiche lan ip, aba wenn man nun lan ip und die vom provider überprüfen lässt könnte man die user ja erkennen. allerdings hab ich absolut keine ahnung woher man die lan ip von nem user bekommen kann, und glaub irgendwie nich dran ob das überhaupt funktioniert. so ^^ das wärs ;D vll versteht ja wer was ich mein. PS: ich weiß das n login sys mit sessions um einiges einfacher, sicherer wäre und viele vorzüge hätte aber ich wollts doch auch mal so probieren.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

17.02.2005, 15:58
Buhmann Erfahrener Benutzer Registriert seit: 20.01.2005 Beiträge: 1.557 PHP-Kenntnisse: Fortgeschritten	wie wärs mit sessions? fg neee ohne könnte ich mir jetzt nur eine möglichkeit mit $_SERVER['REQUEST_URI'] oder username und pw jedesmal mitübergeben oder einen "code" übergeben der jedesmal neu generiert wird und eindeutig zuordbar ist.

17.02.2005, 16:11
Buhmann Erfahrener Benutzer Registriert seit: 20.01.2005 Beiträge: 1.557 PHP-Kenntnisse: Fortgeschritten	ne, häng einfach an alle urls ?code=2930202 dran...

17.02.2005, 16:14
Gast Beiträge: n/a	was wenn ich von irgend nem kumpel die die adresse zu ner nickpage von irgend nem user bekomm? der kennt nicht meinen code den er ranhängen muss fg

30.12.2007, 21:54
Thilo Neuer Benutzer Registriert seit: 03.12.2007 Beiträge: 2	Das Thema ist vielleicht schon ein bisschen alt, aber ich finde, irgendein Lösungsansatz wäre schon nicht schlecht. Ich suche ebenso nach einer Idee ohne Cookies. Scheint aber so, als gäbe es da kaum chancen. Worüber ihr mit euren Codes da gerade philosophiert sind doch eigentlich Session-IDs Mit 'nem kleinen Problem allerdings! Diese Art von Code ist ziemlich "leicht". Und mit leicht meine ich die Leichtigkeit hinsichtlich der Möglichkeit den Code von außen zu verstehen. Jemand könnte auf diese Art und Weise sich leicht fremde Codes ausdenken. Hier und da einfach einmal ne Zahl verdreht ( bei euch sind die vielleicht sogar fortlaufend?) und schon ist man in einen fremden Account eingeloggt. Das wäre ja ziemlich unsicher. Bedenkt übrigens, dass ihr mit einer Community eine gewisse Verantwortung tragt, da in euren Händen dann wahrscheinlich auch sensible Nutzedaten liegen.

30.12.2007, 22:58
mrcoffe Neuer Benutzer Registriert seit: 09.11.2005 Beiträge: 10	thilo hat natürlich vollkommen Recht. Eine Fortlaufende Nummerierung oder ein Code mit nem Zahlendreher würden es sicher nicht bringen. Wenn man jedoch den Code verschlüsselt(z.B. durch MD5,Microtime + Rand), also nicht fortlaufend o.ä. macht, dann ist die Methode von Buhmann gut zu gebrauchen und auch sicher. __________________ Peter Hansmann

30.12.2007, 23:35
dr.e. Moderator und Wett-König Registriert seit: 21.05.2008 Beiträge: 3.633 PHP-Kenntnisse: Fortgeschritten	Hier krampfhaft nach einer Lösung zu suchen, wenn es bereits eine standardisierte und breit unterstütze gibt finde ich pure Zeitverschwendung. Jungs, investiert besser Zeit in die Implementierung einer sicheren Sessionbehandlung in eurer Software, dann ist die Zeit besser genutzt. Das Rad erfindet heute auch keiner neu... __________________ Viele Grüße, Dr.E. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. Think about software design before you start to write code! 2. Discuss and review it together with experts! 3. Choose good tools (-> Adventure PHP Framework (APF))! 4. Write clean and reusable software only! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~