Anzeige - [Hier werben / Mediadaten]
(?) Tags raten (?) (edit)
 
Reply to this topicStart new topicStart Poll
Diskussion

PHP Auto Login

Vll. hat ja jemand die ultimative Idee?

Thema abonnieren | Thema versenden | Thema drucken
Schangu
Event und Neue Medien GbR
Geschrieben am: Mo 24.09.2007, 19:16
Report PostQuote Post

AyomRank 4
********

Gruppe: Member (aktiv)
Beiträge: 65
Mitglied seit: 16.02.2007
Huhu,
mich würde interessieren ob ihr irgendwelche Tipps hat was man anders machen könnte (zum Beispiel um einen das System sicherer zu machen):

Es geht um ein Auto-Login Script welches einen auf einer Homepage automatisch anmeldet. Besonderes Augenmerk soll das Thema Sicherheit gelenkt werden.

Meine bisherige Überlegung sieht so aus:

BenutzerID und MD5 Passwort werden in einem Cookie gespeichert und bei Bedarf aufgerufen.


Gibts da vll. noch irgend einen Trick/Kniff denn man beachten sollte?

MfG


--------------------
http://www.kataglog.de - der tag katalog im deutschen web
http://www.de-plattsnackers.de - plattdeutsche geschichten
http://www.eunm.de - Event- und Neue Medien GbR
Top
PMEmail PosterUsers WebsiteICQ
Top
 
 
sd12
#2 Geschrieben am: Mo 24.09.2007, 20:41 (+01:25)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004
Cookie kann via XSS Ausgelesen werden.

Das Cookie sollte an die IP gebunden werden, dann ist aber der Sinn vom Autologin futsch. Zumindest an den Provider binden, dann hast Du wieder ein riesiges Loch.

Mach nur ein Autologin wenn es wirklich sein muss!

Mach eine Kombination mit ETag. http://www.ayom.com/topic-20245.html

Und ganz wichtig, bei einem erkannten Fake Muster sofort Autologin killen.

P.S. arbeite nicht mit einer UserID arbeite mit einem absolut anonymen User Key.


--------------------
************************
Treiber f[r das Kezboard ist [berfl[ssig.
Top
PMEmail PosterICQMSN
Top
 
Schangu
Event und Neue Medien GbR
#3 Geschrieben am: Mo 24.09.2007, 21:02 (+00:21)
Report PostQuote Post

AyomRank 4
********

Gruppe: Member (aktiv)
Beiträge: 65
Mitglied seit: 16.02.2007
Das mit dem ETag klingt sehr interessant, habe allerdings noch technisch nicht ganz verstanden wie man das ganze umsetzt ;]

Jemand vll. ein Code-Snippet übrig? ;] Oder ne etwas bessere Erklärung als im Wiki, insb. aus technischer Sicht was die Umsetzung in PHP angeht.

Das Script was du unter dem anderen Topic gepostet hast sieht gut aus :] Davon der Code wäre was ;[]


--------------------
http://www.kataglog.de - der tag katalog im deutschen web
http://www.de-plattsnackers.de - plattdeutsche geschichten
http://www.eunm.de - Event- und Neue Medien GbR
Top
PMEmail PosterUsers WebsiteICQ
Top
 
sd12
#4 Geschrieben am: Di 25.09.2007, 08:13 (+11:10)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004
QUOTE (Christoph Gerken @ Mo 24.09.2007, 22:02)
Das Script was du unter dem anderen Topic gepostet hast sieht gut aus :] Davon der Code wäre was ;[]

Was ich für ein Bier nicht alles mache ;-)

Hast eine Mail...

Ach ja, geb mir bitte mal die URL, ich möchte Dir gerne zeigen, warum Du kein Autologin einsetzen solltest...


--------------------
************************
Treiber f[r das Kezboard ist [berfl[ssig.
Top
PMEmail PosterICQMSN
Top
1 Monat später...
sd12
#5 Geschrieben am: Mo 5.11.2007, 20:46 (+1m )
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004
So, nun war es auch bei mir soweit. Ich musste ein Autologin machen, obwohl ich die Dinger hasse.

Also hab ich mir überlegt, wie man das einigermassen sicher hinkriegt.

1. Das Cookie hat einen 30 stelligen Key.
Das ist noch unspektakulär. Bzw. das mindeste.

2. Das Cookie ist ein sogenanntes httpOnly Cookie.
httpOnly soll verhindern, dass via JavaScript ein Cookie ausgelesen werden kann. Das Auslesen ist nur noch Serverseitig bzw. im Header möglich.
Das Problem ist, dass es noch nicht alle Browser unterstützen oder es nicht sicher implementier ist.
http://www.heise.de/newsticker/meldung/93178

PHP Snippet:
CODE
setcookie("name", "value", time()+2592000, NULL, NULL, NULL, TRUE);

Das "TRUE" setzt das Cookie als httpOnly.

3. Eine Intrusion detection
Sobald iregndwo ein XSS-Loch ist auf der Seite, ist eine Manipulation möglich. Desshalb hab ich ein Intrusion Detection Script (Anti XSS, SQLi, etc) eingebaut. Wichtig ist, dass es Überall! includet wird. Bei einer Attacke wird die verarbeitung umgehend abgebrochen...
http://php-ids.org/

Funktionsweise:
http://www.kirly.com/l-gratis-sms.htm?vari...673408855113789


--------------------
************************
Treiber f[r das Kezboard ist [berfl[ssig.
Top
PMEmail PosterICQMSN
Top
 
Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)
0 Mitglieder:
« Horde Mysql Auth Login | Programmierung Allgemein | Code ändern, aber ...? »
Trackback-Url: http://www.ayom.com/track/t/20802
Dieses Thema abonnieren

Topic Options Reply to this topicStart new topicStart Poll

 
Artikel die Sie interessieren könnten: (beta) - Feedback


> Ähnliche Themen
Themen Titel Autor Views Antworten Letzte Aktion
Auto - Message beim folgen auf Twitter Marc Boesch 281 2 Sa 16.01.2010, 16:45
Auto - Newstext gegen Backlink Ronald Nickel 122 0 Sa 2.01.2010, 22:40
[S] Foren Bannerplätze Thema Auto u. Tuning Ronald Nickel 205 0 Fr 13.11.2009, 18:15
{V} Auto Domain Denis Loose 144 0 Mo 26.10.2009, 07:25
[S] Foren Footerlinks Thema Auto u. Tuning Ronald Nickel 407 12 Sa 5.09.2009, 11:40
Partnerprogramm bei Adcell Thema Auto & Co. kfz-wert.info 459 0 So 9.08.2009, 06:12
Auto MySql Backup Ronald Nickel 304 5 Do 9.07.2009, 13:50




Anzeige - [Hier werben / Mediadaten]



Anzeigen


[Hier werben / Mediadaten]