sicheres login in PHP?
-
ja nur bastel ich grad nicht an einem einfachen foren system, sondern an einem browsergame. und wenn man da "aus versehen" nen link mit sessionid weitergibt, ist das schon nicht so nett. aber für ein browsergame ssl nehmen find ich auch nicht wirklich des wahre...
also bleibt mir im prinzip nur noch ein hash aus browser, os usw
-
Evtl. könntest Du noch ein Ticket-System implementieren, welches Dir für jede mögliche Aktion ein Einmal-Ticket übergibt und Serverseitig dann auswertet. Damit erhöhst Du aber auch nur den Aufwand, das ganze zu knacken, wesentlich sicherer wirst Du damit aber auch nur, wenn Du den User nach z.B. drei ungültigen Tickets einfach erstmal kickst.
Gruß Jens
-
ein ticket-system hab ich schon implementiert gegen mehrfaches abschicken von formularen und ich find des reicht auch,d enn so möcht ich es nicht unbedingt machen
-
Nur mal zu eurem Problem:
Ich hab bisher auch nur meine Anwendungen mit Session + IP + Zeit abgesichert (Also Zeit für ne Timeout)
Um das zu KNacken muss man schon gut sein, denn : IP faken (man muss erstmal wissen welche), die SessionID Faken (ok das ist nicht so schwer) und man muss genau den Zeitpunkt appassen, wann der User sich eingeloggt hat.
Ist eigentlich ziemlich schwierig.
Allerdings wenn du es wirklich sicher brauchst, SSL, ist da die einzige lösung.
Aber wie schon gesagt, für nen browsergame evtl zu übertrieben und vllt. auch zu teuer (Wenn man sich überlegt, was ne SSL - Lizenz kostet
)Allerdings hatte ich bisher noch überhaupt ganz und gar keine Probleme mit der o.g. Mehtode
Liebe grüsse
-
ja bloß wie schon gesagt wurde, man sollte auch an zb aol user denken (obwohl die ja selber schuld sind) da aol ja auf seinen proxies neuerdings load-balancing macht, ein user also mit 10 verschiedenen ip's durch die gegend surfen kann
-
fallen schrieb:
ja bloß wie schon gesagt wurde, man sollte auch an zb aol user denken (obwohl die ja selber schuld sind) da aol ja auf seinen proxies neuerdings load-balancing macht, ein user also mit 10 verschiedenen ip's durch die gegend surfen kann
Das ist ja wohl deren problem und nicht deins oder?
Um es mal aufs wichtigste zu dezimieren: wer so dumm ist, aol als ISP zu nehmen.... (ich gehörte früher auch mal dazu *kopfschüttel*)
liebe grüsse
-
OMG
ist das echt euer ernst????
-
mrchat schrieb:
Das ist ja wohl deren problem und nicht deins oder?
Um es mal aufs wichtigste zu dezimieren: wer so dumm ist, aol als ISP zu nehmen....
ne das IST mein problem, da ich ja einen möglichst großen benutzerstamm erreichen möchte, MUSS ich so programmieren, dass jeder benutzer, sofern er denn einen DOM, CSS und html konformen browser benutzt, meine seite benutzen kann.
klar ich mach aol auch nicht, aber es aol hat immerhin einen nicht zu übersehenden kundenstamm (laut werbung immerhin 30mio weltweit)
-
uga-agga ist ein open-source browser game, zu haben ein sourceforge.
dort is es jedenfalls so gut geloesst worden, dass ich bis jetzt noch keinen fall kenn, in dem man eine fremde session uebernehmen konnte. (bei ca 7,5k spielern).
-
fallen schrieb:
ne das IST mein problem, da ich ja einen möglichst großen benutzerstamm erreichen möchte, MUSS ich so programmieren, dass jeder benutzer, sofern er denn einen DOM, CSS und html konformen browser benutzt, meine seite benutzen kann.
klar ich mach aol auch nicht, aber es aol hat immerhin einen nicht zu übersehenden kundenstamm (laut werbung immerhin 30mio weltweit)
Ja schon richtig.
Aber mal ne andere idee:
Schau dir doch mal das Management von dem PHPBB - Forum an, die haben das doch wohl auch hinbekommen. Ich mein, hier gibt es doch sicherlich auch AOL - User oder?liebe grüsse
-
ist im phpbb ein ipcheck drin?
-
fallen schrieb:
ist im phpbb ein ipcheck drin?
öhm, ich hab das vor längerem mal angeschaut, weiß nicht mehr genau, bin aber der meinung: ja
Liebe grüsse
Edit: hab grad mal schnell nachgeschaut: definitiv ja
-
ja, es gibt nen ipcheck
-
hallo.
ich hab auch aol.
wenn ich den aol-browser nehme kann ich z.b bei exclaim.de das forum nicht benutzen. wenn ich aber den IE nehme geht es.
was habt ihr gegen AOL?
billig ist es ja (0.7 cent pro minute)
MFG
-
FrauBolaIstDumm schrieb:
hallo.
ich hab auch aol.
wenn ich den aol-browser nehme kann ich z.b bei exclaim.de das forum nicht benutzen. wenn ich aber den IE nehme geht es.
was habt ihr gegen AOL?
billig ist es ja (0.7 cent pro minute)
MFGIch hab damals gegen aol alleine schon die tatsache gehabt, dass die nen riesenextra einwahlprogramm haben, und dass es halt _nur_ ne einzelplatznutzung ist, und dass auch ohne größeren aufwand nix möglich ist (like proxy)
Das hat mich anfangs zwarnicht gestört, da ich nur per 56k - modem drin war, und nur mit einem rechner, aber wo es dann DSL gab hab ich gewechselt, da AOL wie gesagt keine mehrplatznutzung anbietet. Und da ich hier mit 3 rechnern surfen wollte...
Na ja, und der AOL - Browser... der hat mich auch nicht so berauscht...
Liebe grüsse
-
der aol browser ist imho ein sch* programm, das einwahlprogramm ist unsinnig und wie gesagt mehrplatznutzung ist verboten. zumal aol überall die finger drin hat (netscape, nullsoft, uvm)
-
fallen schrieb:
ist imho ein sch* programm
100% ACK
Ich wollte es nur nicht so krass ausdrückenNatürlich ist das Einwahlprogramm unsinnig, denn:
Viel zu groß (vom Platz her, glaub mittlerweile mehr als 100 mb), hat unsinnige Features, die ich eh nie benutzt hab, spinnt meistens (zu viele fehler), und nebenbei wäre doch eine einfache dfü - verbindung viel einfacher und sinnvoller..
Aber nein, da muss AOL her und sagen: Jo, wir bauen uns da was, damit auch ja keiner ne mehrplatznutzung damit machen kann...Na ja... lassen wir das..
AOL American OffLine...Liebe grüsse
-
hallo.
wir haben auch nur 56k modem weil es bei uns kein dsl gibt.
isdn ist zu teuer und auch nicht viel schneller.
jetzt soll wimax rauskommen. die ersten geräte sind schon in düsseldorf und noch örgendeiner stadt aufgebaut sie haben eine reichweite von 50km. wenn sie mal einen in leipzig aufbauen. dann können wir auch mit H-DSL ins I-Net.
MFG