Ankündigung

Einklappen
Keine Ankündigung bisher.

Benutzeridentifikation bzw. Login

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Benutzeridentifikation bzw. Login

    Mich würde mal eure Meinungen und Erfahrungen zur Benutzeridenfikation interessieren. Es gibt ja da mehrere Möglichkeiten (z.B: Session-Variablen, Cookies, .htaccess und viell. noch andere). Vorallem Zuverlässigkeit und Sicherheit sind mir sehr wichtig.

    Am sichersten und zuverlässigsten ist wahrscheinlich .htaccess, aber die Methode (mit dem nicht unbedingt schönen Fenster) gefällt mir nicht wirklich.

    Hab mir jetzt mal gedacht ich löst das über Sessions. Wie sind da die Erfahrungen? Dieser Intern-Bereich soll später auf SSL-Server laufen.

    Besten Dank

    mfg
    Berndl
    0
    Sessions
    0%
    0
    Cookies
    0%
    0
    htaccess
    0%
    0

  • #2
    Hi!
    Man koennte den htaccess-Login auch ueber ein Webformular laufen lassen.
    Allerdings wuerde das am Ende darauf hinsauslaufen, dass Username und Passwort in der Adresszeile des Browsers zu sehen sind.
    Deshalb weiss ich nicht, ob das deinen Sicherheitserwartungen entspricht.
    Ansonsten wuerde ich Sessions verwenden.

    Du musst dann halt nur aufpassen, dass du die Passwoerter nicht im Klartext speicherst, aber ansonsten duerfte das von der Sicherheit nicht so den Unterschied zu .htaccess machen.

    Vielleicht eine Kombination aus beidem?

    Eventuell wie folgt:

    User loggt sich ueber ein Web-Interface ein.
    Seine Login-Informationen werden in einer Session gespeichert und eine folgende PHP-Seite uebernimmt die Verwaltung der geschuetzten Inhalte.
    Diese Inhalte sind in einem .htaccess geschuetzten Verzeichnis enthalten.
    Die PHP-Datei, die die Verwaltung dieser Daten uebernimmt besteht im Prinzip nur aus einigen wenigen Zeilen.
    Muss halt ueberprueft werden, ob wirklich eingeloggt und richtig eingeloggt.
    Anschliessend wir der Inhalt der geschuetzten Seite
    ueber z.B.
    include 'http://usernameassword@domain.de/private/seite1.html';
    realisiert.
    Damit es keine Probleme mit Formularen etc. gibt sollte man dann eventuell in dem Verzeichnis mit dem PHP-Verteiler eine .htaccess Sperre einbauen, die alle Zugriffe auf andere Dateien als die auf die PHP-Datei blockt (also 403 Fehler produziert) und anschliessend auf diese weiterleitet, indem sie auch saemtliche GET & POST Variablen und die angefragte Datei mituebergibt.
    So sollte es auch keine Probleme mit Relativen Links in den Dateien des geschuetzten Verzeichnisses geben. Und mit Formularen eigentlich auch nicht.

    Aber das ganze ist nur ein kleines Gedankenspiel. Keine Ahnung, ob das wirklich so umsetzbar ist, aber ist zumindest eine Idee

    Kommentar


    • #3
      Ich nutze weder noch Also zumindest keine PHP-Session, sondern eine eigene "möchtegern"-Session. Der Nachteil, den ich bei PHP-Sessions bemerkt habe ist: wenn man eine Seite aufruft, die etwas länger zum Aufrufen braucht und nebenbei noch eine weitere Datei mit der selben Session auf dem selben Server aufruft, dann wird die 2. Seite erst dann verarbeitet, wenn die erste verarbeitet wurde. Das ist meganervig und bisher konnte mir niemand sagen, wie man das umgehen kann.

      Bei Cookies ist das Problem, dass diese beim User aktiviert sein müssen und so wirklich Sicherheit bieten die nicht, da sie von jedem, der Zugriff auf diesen Rechner hat, einzusehen sind.

      Ob .htaccess das sicherste ist wage ich mal zu bezweifeln, aber widerlegen kann ich diese Behauptung auch nicht Aber das unschöne Eingabefeld ist eben auch nicht mein fall.

      Kommentar


      • #4
        jetzt würd mich aber echt interessieren wie du deine "möchtegern" session gemacht hast

        also ich benutze sessions mit nen paar kleinen zusatz funktionen und das klappt eigentlich alles ganz gut

        Kommentar


        • #5
          Also:

          Code:
          $session = md5 (microtime ().$_SERVER["HTTP_WEFERER"].$user_name.$user_pw);
          Dies ist die grnudlegende SessionID, die ich jeder Seite übergebe. In der Datenbank wird in einer Spalte VARCHAR(32) allerdings folgendes gespeichert:

          Code:
          md5 ($session.$_SERVER["HTTP_USER_AGENT"].$ip)
          Jedesmal, wenn die Session überprüft wird, dann wende ich ein WHERE session='".md5 ($_GET["session"].$_SERVER["HTTP_USER_AGENT"].$ip)."' an. Hat zwar alles den Nachteil, dass ich die UserID und die SessionID jedem Link übergeben muss, aber da ich mit Templates arbeite, alles nur halb so wild und mir ist das auch egal, dass da 2 Variablen mit übergeben werden. Wenigstens laden die Seiten Zeitgleich.

          Kommentar


          • #6
            mh also mit dem seite laden ist bei mir noch nie passiert! muss ich mal ausprobieren aber was hast du denn für seiten dass die so lange dauern????

            Kommentar


            • #7
              is ne community-page meines kumplz und da ist uns das aufgefallen, als wir den chat mit sessionsprogrammiert haben. der chat an sich wurde angezeigt, die eingabedatei (frames) nicht mehr und man konnte auch keine andere datei aufrufen. dann kommt hinzu, dass die seite recht stark frequentiert ist die programmierung noch nicht optimiert wurde. hat bisher alles mein kumpl gemacht und proggt gerade die 2. version. schon echt nervig, man schreibt was im chat und muss warten, bis das forum aufgebaut ist, nur weil scheiß php-sessions nicht parallel funktionieren...

              Kommentar

              Lädt...
              X