Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.lang.php > #3904

Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen?

Show key headers only | View raw

Michael Vogel wrote:

> Ich programmiere an einer Webapplikation, die eine "Remember
> Me"-Funktionalität hat (gemeint ist damit, dass man sich nicht immer neu
> anmelden muss, falls man einen entsprechenden Haken gesetzt hat)
> 
> Dies wurde bislang über eine Manipulation des Session-Cookies gelöst,
> dies scheint aber unzuverlässig zu sein.

Wie kommst Du darauf?
 
> Ich wollte dies nun darüber lösen, dass ich über "setcookie" ein
> entsprechendes Cookie mit längerer Laufzeit setze und später wieder lese.

<http://php.net/manual/en/function.session-set-cookie-params.php>
 
> Nun das Problem: Der Cookie-Wert wird auf dem lokalen Rechner
> gespeichert. Wenn ich also z.B. den Usernamen in das Cookie schreiben
> würde, könnte ein böswilliger Angreifer den Cookie manipulieren und
> somit Zugriff unter jedem beliebigen Usernamen erhalten.

Mit “httponly”, was die Standardeinstellung sein sollte 
(session.cookie_httponly=1), wird das schon mal schwieriger.
 
> Es gibt "schlüsselfertige" Lösungen wie diese hier:
> http://www.bitrepository.com/php-autologin.html
> 
> Aber hier wird einfach das Password per MD5 gehasht und in das Cookie
> geschrieben. Zum einen sollte man MD5 nicht in sicherheitsrelevanten
> Bereichen verwenden,

Alle absoluten Aussagen sind falsch.

> zum anderen erscheint es mir von meinem Bauchgefühl
> her nicht sicher, das Passwort in einem Cookie zu speichern.

Darin steht _nicht_ das Passwort, sondern seine *Prüfsumme* (Hash).  MD5 
(Message-Digest Algorithm 5) ist eine kryptologische/kryptographische 
Hashfunktion, *kein* Verschlüsselungsalgorithmus.

Aber es gibt bessere Hashfunktionen als MD5 und es ist richtig, dass das 
Passwort auf den Server gehört – und *nur* der Hash davon.
 
-- 
PointedEars
Zend Certified PHP Engineer 
<http://www.zend.com/en/yellow-pages/ZEND024953> | Twitter: @PointedEars2
Please do not cc me. / Bitte keine Kopien per E-Mail.

Back to de.comp.lang.php | Previous | Next — Previous in thread | Next in thread | Find similar

Thread

Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 01:25 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 05:22 +0000
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 07:59 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:49 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Markus Grob <snoopy@ilnet.ch> - 2016-04-25 08:41 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 10:01 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 09:00 +0000
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 12:01 +0200
          Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 14:02 +0200
            Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 18:40 +0200
              Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 19:50 +0200
              Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:58 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-25 13:21 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 16:10 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 04:41 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 11:24 +0200
          Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:42 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:29 +0200
  Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 03:53 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:25 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 14:07 +0200
        Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 14:36 +0200
    Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan Mayer <meniskus@gmx.net> - 2016-04-26 13:45 +0200
      Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:44 +0200

csiph-web