Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.lang.php > #3907

Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen?

From Michael Vogel <ike@spamfence.net>
Newsgroups de.comp.lang.php
Subject Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen?
Date 2016-04-26 12:25 +0200
Organization Individual Network Berlin e.V.
Message-ID <1461666331.802255@alpaka.in-berlin.de> (permalink)
References <1461540323.523787@alpaka.in-berlin.de> <3274551.9l8c4cJ63c@PointedEars.de>

Show all headers | View raw

Am 26.04.2016 um 03:53 schrieb Thomas 'PointedEars' Lahn:
> Michael Vogel wrote:
> 
>> Ich programmiere an einer Webapplikation, die eine "Remember
>> Me"-Funktionalität hat (gemeint ist damit, dass man sich nicht immer neu
>> anmelden muss, falls man einen entsprechenden Haken gesetzt hat)
>>
>> Dies wurde bislang über eine Manipulation des Session-Cookies gelöst,
>> dies scheint aber unzuverlässig zu sein.
> 
> Wie kommst Du darauf?

Es gibt entsprechende Berichte von Usern und ich kann es auch
reproduzieren, dass nach mehreren Stunden der Abwesenheit die Session
anscheinend verfällt, auch wenn das Cookie noch gültig ist.

>> Nun das Problem: Der Cookie-Wert wird auf dem lokalen Rechner
>> gespeichert. Wenn ich also z.B. den Usernamen in das Cookie schreiben
>> würde, könnte ein böswilliger Angreifer den Cookie manipulieren und
>> somit Zugriff unter jedem beliebigen Usernamen erhalten.
> 
> Mit “httponly”, was die Standardeinstellung sein sollte 
> (session.cookie_httponly=1), wird das schon mal schwieriger.

Klar. Das ist gesetzt. Genauso wie ich "secure" setze, wenn der Server
entsprechend eingerichtet ist.

>> zum anderen erscheint es mir von meinem Bauchgefühl
>> her nicht sicher, das Passwort in einem Cookie zu speichern.
> 
> Darin steht _nicht_ das Passwort, sondern seine *Prüfsumme* (Hash).  MD5 
> (Message-Digest Algorithm 5) ist eine kryptologische/kryptographische 
> Hashfunktion, *kein* Verschlüsselungsalgorithmus.

Der Unterschied zwischen Hash und Verschlüsselung ist mir bewusst, ich
habe es nur verkürzt dargestellt.

> Aber es gibt bessere Hashfunktionen als MD5 und es ist richtig, dass das 
> Passwort auf den Server gehört – und *nur* der Hash davon.

Jepp.

Michael

Back to de.comp.lang.php | Previous | NextPrevious in thread | Next in thread | Find similar | Unroll thread

Thread

Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 01:25 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 05:22 +0000
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 07:59 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:49 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Markus Grob <snoopy@ilnet.ch> - 2016-04-25 08:41 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 10:01 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 09:00 +0000
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 12:01 +0200
          Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 14:02 +0200
            Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 18:40 +0200
              Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 19:50 +0200
              Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:58 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-25 13:21 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 16:10 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 04:41 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 11:24 +0200
          Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:42 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:29 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 03:53 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:25 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 14:07 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 14:36 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan Mayer <meniskus@gmx.net> - 2016-04-26 13:45 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:44 +0200

csiph-web