4. wie funktioniert ein Loginserver?

wie funktioniert ein Loginserver?

  • C

    Hallo,

    Ich möchte auf meiner Webseite den Login für die Nutzer per SSL absichern, die restlichen Datenübetragungen sollen aber Klartext erfolgen, da ich nur eine IP habe und mehrere Domains. Im Prinzip das, was auch EBay macht.
    Wie kann das funktionieren? also SSL Login ist kein problem, aber wie weiß der restliche Webserver, dass ein Nutzer authentifiziert ist und das er auch sicher der Nutzer ist der er sagt?
    Mich würde interessieren wie das prinzipiell gehen kann, so sachen wie PHP-Sessions sidn ja nicht möglich bei 2 getrennnten Servern, und außerdem kann man die SID ja auch stehlen.

    0
  • A

    die session-daten nicht mit php speichern sondern wie zb phpbb in einer zentralen datenbank

    0
  • C

    gut, dass ist natürlich möglich, aber dann kann ja jeder der meine netzwerkverbindung anzapft nach meinem login mit diesen daten (z.B. SID) sich als ich ausgeben. Also im EBay fall z.b unter meinem Namen einkaufen. Die zusätzliche sicherheit durch den ssl login ist doch minimal in diesem Fall, oder?

    0
  • N

    Wenn du SSL nur für den Login verwendest hilft das, Benutzernamen und Passwort zu verschleiern. Wenn die Sicherheit danach noch gegeben sein soll musst du afaik auch die nachfolgenden Seiten mit SSL verschlüsseln, um die SID zu schützen.

    0
  • A

    100% sicher kannst dir da nie sein.. check sid auf ip/browser/system oder so halt

    0
  • C

    OK, vielen dank.
    Wenn ich also ein CRAM-MD5 oder SHA Verfahren anwende zur Passwortübermittlung habe ich quasi die selbe Sicherheit, nur dass die Leute das nicht mitkriegen, weil der Browser dabei keine Sicherheitssymbole anzeigt ....
    Und komplett verschlüsseln wird den EBayLeuten vemutlich zu viel CPU Last sein, aber dadurch ist es im Prinzip leicht möglich von einem eingeloggten die aktuelle Sitzung zu Nutzen, nur das Passwort kennt man eben nicht, d.h. sobald der sich ausloggt (expilizit allerdings! 🙂 ) ist mann wieder draussen.

    seh ich das soweit richtig?
    Man kann also mit erwähnten methoden etwas mehr sicherheit erlangen, aber z.b. die ip kann ja auch ein proxy sein und schon darf der ganze proxy mitmachen 🙂

    Trotzdem tausend Dank, das war mir immer ein Rätsel, wie das sicher gehen soll, das ein server den Login macht und andere die Daten liefern, ohne dass sich der Client bei denen neu authentifiziert.

    0
  • A

    du hast deine sid. wohl 32 zeichen lang. zu der sid speicherst du sowohl ip als auchbrowser ab. nun ruft einer eine seite auf . du identifizierst ihn anhand der sid (nicht an der ip) . wenn nun noch die ip und der browser uebereinstimmen ist es doch recht eindeutig.
    klar wenn der user ueber einen proxy reingeht ist es theroetisch moeglich mit gleichem browser an fremde sessions zu kommen. aber dazu musst du erstmal an die fremde sid kommen (diese sollte man natuerlich nicht ueber links weitergeben). pures erraten ist hier wohl nicht mehr moeglich.
    ssl verschluesselt die verbindung nur soweit dass alle daten verschluesselt werden, dh du sensiblere daten schicken koenntest - sollte man im web eigtl. sowieso nicht machen.
    allg. gilt: umso sicherer das ganze werdem soll, umso user-unfreundlicher wird es.

    0
Anmelden zum Antworten