Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.lang.php > #3890

Wie kann man eine "Remember Me"-Funktionalität sicher erstellen?

From Michael Vogel <ike@spamfence.net>
Newsgroups de.comp.lang.php
Subject Wie kann man eine "Remember Me"-Funktionalität sicher erstellen?
Date 2016-04-25 01:25 +0200
Organization Individual Network Berlin e.V.
Message-ID <1461540323.523787@alpaka.in-berlin.de> (permalink)

Show all headers | View raw

Hi!

Ich programmiere an einer Webapplikation, die eine "Remember
Me"-Funktionalität hat (gemeint ist damit, dass man sich nicht immer neu
anmelden muss, falls man einen entsprechenden Haken gesetzt hat)

Dies wurde bislang über eine Manipulation des Session-Cookies gelöst,
dies scheint aber unzuverlässig zu sein.

Ich wollte dies nun darüber lösen, dass ich über "setcookie" ein
entsprechendes Cookie mit längerer Laufzeit setze und später wieder lese.

Nun das Problem: Der Cookie-Wert wird auf dem lokalen Rechner
gespeichert. Wenn ich also z.B. den Usernamen in das Cookie schreiben
würde, könnte ein böswilliger Angreifer den Cookie manipulieren und
somit Zugriff unter jedem beliebigen Usernamen erhalten.

Es gibt "schlüsselfertige" Lösungen wie diese hier:
http://www.bitrepository.com/php-autologin.html

Aber hier wird einfach das Password per MD5 gehasht und in das Cookie
geschrieben. Zum einen sollte man MD5 nicht in sicherheitsrelevanten
Bereichen verwenden, zum anderen erscheint es mir von meinem Bauchgefühl
her nicht sicher, das Passwort in einem Cookie zu speichern.

Andere Lösungen, die ich gefunden habe, speichern beim Anmelden in der
Userdatenbank einen zufälligen Hashwert, der dann in das Cookie
geschrieben wird und der sich laufend ändert. Aber das erscheint mir
nicht sinnvoll nutzbar, wenn man von mehreren Rechnern aus arbeitet. Und
wenn es immer der gleiche Hashwert wäre, könnte der abgegriffen werden,
um sich dann mit einem anderen Rechner einzuloggen.

Gibt es "schlüsselfertige" Lösungen für PHP, die sicher sind und die es
ermöglichen, dass man die Funktionalität auf mehreren Rechnern nutzt?

Michael

Back to de.comp.lang.php | Previous | NextNext in thread | Find similar

Thread

Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 01:25 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 05:22 +0000
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 07:59 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:49 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Markus Grob <snoopy@ilnet.ch> - 2016-04-25 08:41 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 10:01 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 09:00 +0000
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 12:01 +0200
          Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 14:02 +0200
            Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 18:40 +0200
              Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 19:50 +0200
              Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:58 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-25 13:21 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 16:10 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 04:41 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 11:24 +0200
          Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:42 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:29 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 03:53 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:25 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 14:07 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 14:36 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan Mayer <meniskus@gmx.net> - 2016-04-26 13:45 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:44 +0200

csiph-web