Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comp.lang.php > #3904
| From | Thomas 'PointedEars' Lahn <PointedEars@web.de> |
|---|---|
| Newsgroups | de.comp.lang.php |
| Subject | Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? |
| Date | 2016-04-26 03:53 +0200 |
| Organization | PointedEars Software (PES) |
| Message-ID | <3274551.9l8c4cJ63c@PointedEars.de> (permalink) |
| References | <1461540323.523787@alpaka.in-berlin.de> |
Michael Vogel wrote: > Ich programmiere an einer Webapplikation, die eine "Remember > Me"-Funktionalität hat (gemeint ist damit, dass man sich nicht immer neu > anmelden muss, falls man einen entsprechenden Haken gesetzt hat) > > Dies wurde bislang über eine Manipulation des Session-Cookies gelöst, > dies scheint aber unzuverlässig zu sein. Wie kommst Du darauf? > Ich wollte dies nun darüber lösen, dass ich über "setcookie" ein > entsprechendes Cookie mit längerer Laufzeit setze und später wieder lese. <http://php.net/manual/en/function.session-set-cookie-params.php> > Nun das Problem: Der Cookie-Wert wird auf dem lokalen Rechner > gespeichert. Wenn ich also z.B. den Usernamen in das Cookie schreiben > würde, könnte ein böswilliger Angreifer den Cookie manipulieren und > somit Zugriff unter jedem beliebigen Usernamen erhalten. Mit “httponly”, was die Standardeinstellung sein sollte (session.cookie_httponly=1), wird das schon mal schwieriger. > Es gibt "schlüsselfertige" Lösungen wie diese hier: > http://www.bitrepository.com/php-autologin.html > > Aber hier wird einfach das Password per MD5 gehasht und in das Cookie > geschrieben. Zum einen sollte man MD5 nicht in sicherheitsrelevanten > Bereichen verwenden, Alle absoluten Aussagen sind falsch. > zum anderen erscheint es mir von meinem Bauchgefühl > her nicht sicher, das Passwort in einem Cookie zu speichern. Darin steht _nicht_ das Passwort, sondern seine *Prüfsumme* (Hash). MD5 (Message-Digest Algorithm 5) ist eine kryptologische/kryptographische Hashfunktion, *kein* Verschlüsselungsalgorithmus. Aber es gibt bessere Hashfunktionen als MD5 und es ist richtig, dass das Passwort auf den Server gehört – und *nur* der Hash davon. -- PointedEars Zend Certified PHP Engineer <http://www.zend.com/en/yellow-pages/ZEND024953> | Twitter: @PointedEars2 Please do not cc me. / Bitte keine Kopien per E-Mail.
Back to de.comp.lang.php | Previous | Next — Previous in thread | Next in thread | Find similar
Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 01:25 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 05:22 +0000
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 07:59 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:49 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Markus Grob <snoopy@ilnet.ch> - 2016-04-25 08:41 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 10:01 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2016-04-25 09:00 +0000
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 12:01 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 14:02 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 18:40 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? k@rl.pflaesterer.de (Karl Pflästerer) - 2016-04-25 19:50 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2016-04-25 19:58 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-25 13:21 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-25 16:10 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 04:41 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 11:24 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:42 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:29 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 03:53 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 12:25 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? "Christoph M. Becker" <cmbecker69@arcor.de> - 2016-04-26 14:07 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Michael Vogel <ike@spamfence.net> - 2016-04-26 14:36 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Stefan Mayer <meniskus@gmx.net> - 2016-04-26 13:45 +0200
Re: Wie kann man eine "Remember Me"-Funktionalität sicher erstellen? Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2016-04-26 17:44 +0200
csiph-web