Ankündigung

Einklappen
Keine Ankündigung bisher.

User erkennen (ohne session + ohne cookies + prob mit IP)

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • User erkennen (ohne session + ohne cookies + prob mit IP)

    salut!

    steh vor folgendem problem:

    wir haben ne community und jeder user ne nickpage drauf nickpage kann man später mit http://url.de/content/nickpage.php?user=username aufrufen.
    soweit bissl damit ihr euch bissl was zamdenken könnt

    so beispiel:
    1. wir loggen uns in der community ein (simples)
    - passwort
    - username
    - $loggedin=1

    bei jedem klick wird in der datenbank "lastinteract" mit dem aktuellen timesetamp gesetzt. nach 30 minuten inaktivität fliegt man raus.

    naja soweit noch bissl unnützes geschwafel. wenn ich nu in der community eingeloggt bin, und will seperat n andres fenster öffnen und auf die nickpage von user xy gehen, bin ich dort natürlich nicht eingeloggt. bzw ich hab keine ahnung wie ich prüfen könnte, ob der user im system ist oder nicht.

    - ist nur ein versuch komplett ohne sessions (nein wir wollen auch keine)
    - an der ip will ichs nich prüfen, falls mehrere leute an nem router hängen
    - kekse akzeptiert auch nicht jeder

    hatte hier bereits gesucht, in machen themen wrude vorgeschlagen die "lan ip" auszulesen. haben zwar viele leute die gleiche lan ip, aba wenn man nun lan ip und die vom provider überprüfen lässt könnte man die user ja erkennen. allerdings hab ich absolut keine ahnung woher man die lan ip von nem user bekommen kann, und glaub irgendwie nich dran ob das überhaupt funktioniert.

    so ^^ das wärs ;D vll versteht ja wer was ich mein.

    PS: ich weiß das n login sys mit sessions um einiges einfacher, sicherer wäre und viele vorzüge hätte aber ich wollts doch auch mal so probieren.


  • #2
    wie wärs mit sessions? *fg*

    neee ohne könnte ich mir jetzt nur eine möglichkeit mit $_SERVER['REQUEST_URI']
    oder username und pw jedesmal mitübergeben
    oder einen "code" übergeben der jedesmal neu generiert wird und eindeutig zuordbar ist.

    Kommentar


    • #3
      Zitat von Buhmann
      ... oder einen "code" übergeben der jedesmal neu generiert wird und eindeutig zuordbar ist.
      folgende idee hatte ich bereits:
      bei jedem login nen einzigartigen code des users in der datenbank speichern und den code jedesmal vergleichen.

      z.b. so übergeben und dann den code mit dem in der db vergleichen. jo das wär ja noch easy http://url.de/bla.php?code=2930202

      geh ich nun auf

      http://url.de/nickpage.php?user=username

      und möchte dort checken, ob ich bereits bei bla.php eingeloggt bin, gehts ja leider nicht.

      Kommentar


      • #4
        ne, häng einfach an alle urls ?code=2930202 dran...

        Kommentar


        • #5
          was wenn ich von irgend nem kumpel die die adresse zu ner nickpage von irgend nem user bekomm? der kennt nicht meinen code den er ranhängen muss *fg*

          Kommentar


          • #6
            Das Thema ist vielleicht schon ein bisschen alt, aber ich finde, irgendein Lösungsansatz wäre schon nicht schlecht.

            Ich suche ebenso nach einer Idee ohne Cookies. Scheint aber so, als gäbe es da kaum chancen.

            Worüber ihr mit euren Codes da gerade philosophiert sind doch eigentlich Session-IDs
            Mit 'nem kleinen Problem allerdings! Diese Art von Code ist ziemlich "leicht". Und mit leicht meine ich die Leichtigkeit hinsichtlich der Möglichkeit den Code von außen zu verstehen.

            Jemand könnte auf diese Art und Weise sich leicht fremde Codes ausdenken. Hier und da einfach einmal ne Zahl verdreht ( bei euch sind die vielleicht sogar fortlaufend?) und schon ist man in einen fremden Account eingeloggt.
            Das wäre ja ziemlich unsicher. Bedenkt übrigens, dass ihr mit einer Community eine gewisse Verantwortung tragt, da in euren Händen dann wahrscheinlich auch sensible Nutzedaten liegen.

            Kommentar


            • #7
              thilo hat natürlich vollkommen Recht. Eine Fortlaufende Nummerierung oder ein Code mit nem Zahlendreher würden es sicher nicht bringen.
              Wenn man jedoch den Code verschlüsselt(z.B. durch MD5,Microtime + Rand), also nicht fortlaufend o.ä. macht, dann ist die Methode von Buhmann gut zu gebrauchen und auch sicher.
              Peter Hansmann

              Kommentar


              • #8
                Zitat von mrcoffe
                thilo hat natürlich vollkommen Recht. Eine Fortlaufende Nummerierung oder ein Code mit nem Zahlendreher würden es sicher nicht bringen.
                Wenn man jedoch den Code verschlüsselt(z.B. durch MD5,Microtime + Rand), also nicht fortlaufend o.ä. macht, dann ist die Methode von Buhmann gut zu gebrauchen und auch sicher.
                ihr wisst aber schon, dass das sessions sind? wenn nicht, lesen, was sessions denn überhaupt sind> http://de.wikipedia.org/wiki/Sitzung_%28Informatik%29
                PHP4?!?>>>Aktuelle PHP Version: 5.2.11 || 5.3.0
                Suse 11.2 *vorfreude*

                Kommentar


                • #9
                  Hier krampfhaft nach einer Lösung zu suchen, wenn es bereits eine standardisierte und breit unterstütze gibt finde ich pure Zeitverschwendung. Jungs, investiert besser Zeit in die Implementierung einer sicheren Sessionbehandlung in eurer Software, dann ist die Zeit besser genutzt. Das Rad erfindet heute auch keiner neu...
                  Viele Grüße,
                  Dr.E.

                  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                  1. Think about software design before you start to write code!
                  2. Discuss and review it together with experts!
                  3. Choose good tools (-> Adventure PHP Framework (APF))!
                  4. Write clean and reusable software only!
                  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

                  Kommentar

                  Lädt...
                  X