Ankündigung

Einklappen
Keine Ankündigung bisher.

Professioneller Login?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Professioneller Login?

    Hallo, ich wollte mal fragen, wie Ihr so euren Login gestaltet und was eure Meinung dazu ist, wie man Ihn gestalten sollte.

    Bei sehr kleinen Projekten bin ich bisher so vorgegangen:
    Methode 1
    > Login mit Zugangsdaten
    > Speicherung des Benutzernamens und des Passworts als MD5 in einer Session oder Cookie

    Professioneller und sicherer würde es jedoch sicherlich so sein:
    Methode 2
    > Login mit Zugangsdaten
    > Speicherung des Benutzernamens und einer Secretid in einer Session oder einem Cookie

    Die Secretid siegelt beispielsweise einen Datenbankeintrag wieder, der sowohl IP Adresse als auch Benutzerid zum Abgleich enthält.

    Wie setzt Ihr euren Login um? Danke!

  • #2
    Also ich mache normalen Login (PW hochverschlüsselt mit eigener Methode)

    Dann User + Passwort in Cookies speichern

    Als nächstes habe ich in der Index.php ein php-Script eingebaut, das die Daten im Cookie mit denen in der DB vergleicht, stimmen diese nicht -> header zum Logout
    MfG
    ~Capfly

    Kommentar


    • #3
      Weshalb sollte man das PW (oder auch nen Hash davon) in Session oder Cookie ablegen? Das ist doch Unsinn.

      Irgendwas an Informationen fehlt in der Fragestellung. So ergibt die Story auf jeden Fall keinen Sinn...

      Gruß Jens

      Kommentar


      • #4
        Hallo, ich wollte mal fragen, wie Ihr so euren Login gestaltet und was eure Meinung dazu ist, wie man Ihn gestalten sollte.

        Bei sehr kleinen Projekten bin ich bisher so vorgegangen:
        Methode 1
        > Login mit Zugangsdaten
        > Speicherung des Benutzernamens und des Passworts als MD5 in einer Session oder Cookie

        Professioneller und sicherer würde es jedoch sicherlich so sein:
        Methode 2
        > Login mit Zugangsdaten
        > Speicherung des Benutzernamens und einer Secretid in einer Session oder einem Cookie

        Die Secretid siegelt beispielsweise einen Datenbankeintrag wieder, der sowohl IP Adresse als auch Benutzerid zum Abgleich enthält.

        Wie setzt Ihr euren Login um? Danke!
        Sorry aber beides ist nicht Proffessionell und auch sehr weit weg davon. Einen Professionellen Login so wie du das nennst gibt es alleine nicht.
        Wenn du es Proffessionell haben willst fängst am besten mit einer ACL an. Für die nicht wissen was die abkürzung ACL heisst. Hier bitte Access Controll Liste (ACL). Mit einer Proffisonellen ACL Planung kann man schon mal Tagelang beschäftig sein.

        Das ist nicht mal wie hier eben geblaubt wird ein parr Codezeillen schreiben und fertig ist es. Ein Login ist nix wenn er umgangen werden kann oder garnicht erst notwendig ist ein Password einzugeben. Du kannst das nicht trennen das ist ein ganzes Packet und nicht ein Formular mit paar Kontroll funktionen.

        Sowas kann man nicht auf die schnelle erklären bwz schreiben.
        siehe dir dazu auch noch folgendes an:

        .)Sql injectionn
        .)Cross Scripting


        Mfg Splasch

        Kommentar


        • #5
          Als Steigerung zur ACL könntest du dir dann vielleicht noch ein RBAC ansehen / aneignen. So etwas entwickelst du einmal und kannst es immer wieder verwenden.
          [I]Es ist schon alles gesagt! Nur noch nicht von allen! (Karl Valentin)[/I]
          [I]Wenn du eine weise Antwort verlangst, musst du vernünftig fragen. (Johann Wolfgang von Goethe)[/I]

          Kommentar


          • #6
            Zitat von Jens Clasen Beitrag anzeigen
            Weshalb sollte man das PW (oder auch nen Hash davon) in Session oder Cookie ablegen? Das ist doch Unsinn.

            Irgendwas an Informationen fehlt in der Fragestellung. So ergibt die Story auf jeden Fall keinen Sinn...

            Gruß Jens
            Na damit es der Angreiffer noch leichter hat. Dann hat er auch gleich das Password von dem Acount

            Sensible Daten sollte man nie in einer Session oder Cookie ablegen. Beides kann relative leicht ausgelesen werden.

            Mfg Splasch

            Kommentar


            • #7
              Hallo ich weiß was SQL Injection und XSS ist. Gerade bei Methode 1 wäre XSS im Zusammenhang mit umfangreichen Rainbowtables Misst.

              Weshalb sollte man das PW (oder auch nen Hash davon) in Session oder Cookie ablegen? Das ist doch Unsinn.
              Wie machst du es denn? Das Passwort als Hash im Cookie dient der ständigen Validierung ob der User auch wirklich der ist, der er angibt zu sein.

              Eine Sessione oder ein Cookie nur mit dem Username kann ja erst recht nicht die Lösung sein ^^ - das wäre ja noch unsicherer.

              Kommentar


              • #8
                Meint Ihr nicht, dass ACL & RBAC ein wenig verfrüht kommen? Der Fragesteller fragt doch erst mal nur nach der Authentifizierung, was soll er da schon mit der Autorisierung? Das ist dann doch erst die nächste Ausbaustufe...

                Gruß Jens

                Kommentar


                • #9
                  Zitat von splasch Beitrag anzeigen
                  Na damit es der Angreiffer noch leichter hat. Dann hat er auch gleich das Password von dem Acount

                  Sensible Daten sollte man nie in einer Session oder Cookie ablegen. Beides kann relative leicht ausgelesen werden.

                  Mfg Splasch
                  Nicht wenn es hochverschlüsselte Daten sind
                  MfG
                  ~Capfly

                  Kommentar


                  • #10
                    Zitat von Jens Clasen Beitrag anzeigen
                    Meint Ihr nicht, dass ACL & RBAC ein wenig verfrüht kommen? Der Fragesteller fragt doch erst mal nur nach der Authentifizierung, was soll er da schon mit der Autorisierung? Das ist dann doch erst die nächste Ausbaustufe...

                    Gruß Jens
                    Joa, kann schon sein. Darauf hatte ich das gar nicht bezogen. Ich habe mich eher an "professionell" orientiert.
                    [I]Es ist schon alles gesagt! Nur noch nicht von allen! (Karl Valentin)[/I]
                    [I]Wenn du eine weise Antwort verlangst, musst du vernünftig fragen. (Johann Wolfgang von Goethe)[/I]

                    Kommentar


                    • #11
                      Zitat von Curcio Beitrag anzeigen
                      Wie machst du es denn? Das Passwort als Hash im Cookie dient der ständigen Validierung ob der User auch wirklich der ist, der er angibt zu sein.

                      Eine Sessione oder ein Cookie nur mit dem Username kann ja erst recht nicht die Lösung sein ^^ - das wäre ja noch unsicherer.
                      Nochmal man legt dort kein password ab.(Keine Sensiblen daten egal wie gut oder hoch die verschlüsselt sind)

                      Du kannst natürlich mit Hash in Cookies arbeiten. Aber verwende dafür einen Zufälligen generierten String niemals das Password. Prüfe ob das Cookie zu dem Acount gehört. Ändere ständig den Hashwert somit wird verhindert das 2 User gleichzeitig im selben Acount sein können. Die User würden sich gegenseitig immer rauswerfen.

                      Verlass dich aber nicht auf die Cookies allein die sind allgemein eine eher unsichere Methode.Da Cookies ja auch gestohlen werden bwz von fremden User ausgelesen werden.

                      Mfg Splasch

                      Kommentar


                      • #12
                        Das Passwort als Hash im Cookie dient der ständigen Validierung ob der User auch wirklich der ist, der er angibt zu sein.
                        Son Quark. Wogegen willst Du denn prüfen? Willst Du auf jeder Seite der Website das Passwort abfragen?

                        Die pure Existenz einer Session für einen bestimmten User oder (je nach Prinzip) ein dort enthaltener Wert sind hinreichende Kriterien für eine gültige Anmeldung. Das macht ja das vergessene Ausloggen und die „Anmeldung merken“-Features so gefährlich.
                        [COLOR="#F5F5FF"]--[/COLOR]
                        [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
                        „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                        [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
                        [COLOR="#F5F5FF"]
                        --[/COLOR]

                        Kommentar


                        • #13
                          Außerdem brauche ich als böser Bube dann nur einmal den Netzwerkverkehr mitloggen, habe dan Hash-Wert und dann kann's los gehen mit Rainbow-Tables. Nein, keine gute Idee.
                          Wenn du sicher gehen willst, dass es wirklich der User ist, dann schreibe deine Telefonnummer auf deine Internetseite, damit du dich mit dem User zum persönlichen Gespräch verabreden kannst.
                          Scherz beiseite: lass den Hash unsichtbar für den User auf der Serverseite, der hat in Cookies nichts verloren.
                          Refining Linux: “[url=http://www.refining-linux.org/archives/65/Performing-push-backups-Part-1-rdiff-backup/]Performing Push Backups – Part 1: rdiff-backup[/url]”

                          Kommentar


                          • #14
                            Die pure Existenz einer Session für einen bestimmten User oder (je nach Prinzip) ein dort enthaltener Wert sind hinreichende Kriterien für eine gültige Anmeldung. Das macht ja das vergessene Ausloggen und die „Anmeldung merken“-Features so gefährlich.
                            etwas verwirrend nikosch.. du meintest "Cookies machen ja das vergessen ausloggen und die „Anmeldung merken“-Features so gefährlich."

                            es spricht ja nichts dagegen auf einer seite anhand der session_id und ggf. einem salt oder subnetz zu prüfen ob ein user eingeloggt ist?
                            ich habe z.b. eine kombi aus session_id und subnetz. ist die nicht vorhanden ist der user auch nicht eingeloggt.
                            und die session_ids werden zur sicherheit in der nacht gelöscht, so bleiben dann auch keine überbleibsel von nicht ausgeloggten usern übrig...

                            Kommentar


                            • #15
                              du meintest "Cookies machen ja das vergessen ausloggen und die „Anmeldung merken“-Features so gefährlich."
                              Nein. Ich meine: Einmal angemeldet wird eine Session erstellt (bzw. das entspr. Auth-Flag gesetzt) und ist dann das hinreichende Kriterium für User ist eingeloggt. Solange die Session nicht zerstört wird oder der Auth-Status anderweitig beendet (Timeout) ist der User angemeldet. Ob nun der Browser offen ist, gleichzeitig ein zweiter auf der Session mitsurft etc. Für einige dieser Fälle gibt es Lösungen, aber das ist erstmal der grundsätzliche Gedanke.

                              zur sicherheit in der nacht gelöscht
                              ?? Was für Tageszeiten gelten denn im Web?
                              [COLOR="#F5F5FF"]--[/COLOR]
                              [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
                              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                              [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
                              [COLOR="#F5F5FF"]
                              --[/COLOR]

                              Kommentar

                              Lädt...
                              X