Ankündigung

Einklappen
Keine Ankündigung bisher.

Ausertungsystem Masterpasswort ?

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    Ausertungsystem Masterpasswort ?

    Tach'en erst mal !

    Ich will mir für ein Auswertungssystem ein Masterpasswort einrichten, da man ja nicht das Passwort von jedem User im Kopf hat.

    Man hat ja von Anfang an gelesen, NIEMALS Passwörter (zumindest im Klartext) im Quellcode zu hinterlegen. Die einzige Lösung wo mir kam, das Masterpasswort wird verschlüsselt in einer Var im Quelltext hinterlegt und es wird dementsprechend eben abgefragt:

    User und Pass in DB

    oder

    User in DB und Masterpass (Quelltext) -----> und weiter geht's

    Für mich doch sicherheitstechn. Völlig in Ordnung, denn es werden ja nur die beiden Hashes verglichen. Oder lieg ich da falsch ?

    Gruß und Danke schon mal im voraus
    Malcom
    Stichworte: -
  • #2
    So wie ich das verstanden hab:
    Du willst dich als User X oder Y anmelden, dafür aber nicht deren spezifisches Passwort nutzen sondern dein 'Masterpasswort'?
    Machs in eine Config-Datei oder DB, hauptsache so, dass man von außen nicht dran kommt ohne den ganzen Server zu hacken.

    Ganz anderes Vorgehen wäre sonst einen 'Master-User' einzurichten der die Werte von den anderen Usern ansehen kann. Wäre userfreundlicher als 'Warum bin ich jetzt rausgeflogen, weil sich jemand anderes mit meinem Account eingeloggt hat?'
    Oder du kennst den Usecase besser um die Entscheidungen abzuwägen.
    [COLOR=#A9A9A9]Relax, you're doing fine.[/COLOR]
    [URL="http://php.net/"]RTFM[/URL] | [URL="http://php-de.github.io/"]php.de Wissenssammlung[/URL] | [URL="http://use-the-index-luke.com/de"]Datenbankindizes[/URL] | [URL="https://www.php.de/forum/webentwicklung/datenbanken/111631-bild-aus-datenbank-auslesen?p=1209079#post1209079"]Dateien in der DB?[/URL]

    Kommentar

    • #3
      Wozu der Aufwand. Wer du bist bestimmt du innerhalb deiner Anwendung doch eh selbst. Vergib eine Rolle an einen Account "CAN_IMPERSONATE_USER", gib sie dem Konto das "wechseln" können soll und erzwinge beim Wechsel die wiederholte Anmeldung.

      Deine Idee würde voraussetzen, das spezifische Zugangsdaten einer Person im Quellcode hard gecoded werden, hardcoding ist irgendwo immer unflexibel und zu vermeiden, egal ob "verschlüssel" oder nicht.
      [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

      Kommentar

      • #4
        Hallo,

        warum nicht einfach mithilfe von Gruppenrichtlienen?

        Dann gibts halt eine normale Benutzergruppe und einen Admingruppe. Die Admins dürfen alles von den normalen Benutzern tun, bzw. einsehen. So habe ich es z. B. in meinen CMS gelöst.


        MFG derwunner

        Kommentar

        • #5
          Zitat von derwunner Beitrag anzeigen
          Hallo,

          warum nicht einfach mithilfe von Gruppenrichtlienen?

          Dann gibts halt eine normale Benutzergruppe und einen Admingruppe. Die Admins dürfen alles von den normalen Benutzern tun, bzw. einsehen. So habe ich es z. B. in meinen CMS gelöst.


          MFG derwunner

          http://profsandhu.com/workshop/role-group.pdf
          [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

          Kommentar

          Vorherige Weiter
          Lädt...
          X