4. sicheres login in PHP?

sicheres login in PHP?

  • F

    hallo.
    jetzt funktioniert endlich bei mir
    MySQL.
    habe daraufhin auch gleich ein
    New-script geschrieben.
    ich habe auch ein admin-bereich.
    index.php?section=admin
    da kann ich mich einloggen.
    hier könnt ihr mal das admin-panel sehen
    http://www.kralapp-games.de/newweb/index.php?section=admin
    1: admin
    2: root
    3: gott
    im tutorial steht das man das mit sessions machen kann.
    aber da steht auch das das nicht sicher sei und cookies gleich garnicht.
    wie habt ihr es gemacht.?
    Vielen Dank MFG

    0
  • N

    Hm... Ich habe Cookies kombiniert mit Password.
    Und wo soll dass so ueberaus unsicher sein? 😕
    Von welchem Tutorial sprichst du?

    0
  • F

    ich habe mir das tut vor 2 jahren mal gedownloadet.
    tut ist auf anderem pc. kann jetzt nicht sagen woher.
    Vielen Dank

    0
  • H

    Mit unsicher meint er bestimmt, dass die Daten alle im Klartext übertragen werden. SSL schaft da Abhilfe, ist aber nur für wenige Zwecke wirklich effizient. Für normale Logins ala Foren usw. halte ich Sessions/Cookies für absolut ausreichend.

    0
  • F

    wenn man die sessions die php anbietet, vernünftig nutzt, kann man sehr sichere anwendungen basteln
    mein persönlicher favorit sind php sessions in verbindung mit einer überprüfung der ip. wenn session und ip nicht zusammenpassen, is was faul ganz einfach

    0
  • F

    ok. vielen dank.
    werde das gleich mal mit einbauen.
    MFG

    0
  • S

    fallen schrieb:

    mein persönlicher favorit sind php sessions in verbindung mit einer überprüfung der ip. wenn session und ip nicht zusammenpassen, is was faul ganz einfach

    Damit hast Du Dir grade AOLer, T-Offliner und alle möglichen Leute, die hinter Proxies sitzen aus dem Kundenkreis gestrichen. IPs sind kein eindeutiges Identifizierungsmerkmal, und sie ändern sich auch häufiger innerhalb einer Sitzung.

    Gruß Jens

    0
  • F

    ich bin selber tonliner und bei mir funzt es... hast aber recht, hast du ne andre idee, sowas genau zu identifizieren?

    0
  • S

    Okay, das mit den T-Onlinern betrifft auch nur die Proxy-Nutzer. Ich hab in jedem Fall bei solchen Lösungen schon genug Beschwerden von T-Onlinern gesehen. Wird wahrscheinlich so sein, wie bei Arcor: Empfohlen wurde auch Dir die Nutzung des Proxies, es geht aber eben auch ohne.

    Grundsätzlich bin ich der Ansicht, daß trotz der Gefahr des Highjackings eine einfache Session-Authentifizierung für einfache Skripte wie Foren oder ähnliches hinlänglich ausreicht. Das einzige, was unter Umständen noch einen gewissen Sinn ergibt, ist das ablegen eines Hashes über OS und User-Agent innerhalb einer Session und dazu ein restriktiv gesetzter Timeout. Alle darüber hinausgehenden Lösungen, welche nicht auf eine verschlüsselte Verbingung setzen, gehen nur in die Richtung "security by obscurity". Sowas hält einen ernshaften Angreifer auch nur eine begrenzte Zeit auf. Abgesehen davon ist der Login heutzutage auch die letzte Ecke, an der man wirklich angegriffen wird. Da stehen meistens (z.B. auch beim phpbb aus dem anderen Thread) noch ganz andere Scheunentore offen.

    Wenn Du aber wirkliche Sicherheit willst, dann hilft nur Session + SSL und ein Abgleich der SSL_SESSION_ID.

    Gruß Jens

    0
  • F

    ja nur bastel ich grad nicht an einem einfachen foren system, sondern an einem browsergame. und wenn man da "aus versehen" nen link mit sessionid weitergibt, ist das schon nicht so nett. aber für ein browsergame ssl nehmen find ich auch nicht wirklich des wahre...
    also bleibt mir im prinzip nur noch ein hash aus browser, os usw

    0
  • S

    Evtl. könntest Du noch ein Ticket-System implementieren, welches Dir für jede mögliche Aktion ein Einmal-Ticket übergibt und Serverseitig dann auswertet. Damit erhöhst Du aber auch nur den Aufwand, das ganze zu knacken, wesentlich sicherer wirst Du damit aber auch nur, wenn Du den User nach z.B. drei ungültigen Tickets einfach erstmal kickst.

    Gruß Jens

    0
  • F

    ein ticket-system hab ich schon implementiert gegen mehrfaches abschicken von formularen und ich find des reicht auch,d enn so möcht ich es nicht unbedingt machen

    0
  • M

    Nur mal zu eurem Problem:
    Ich hab bisher auch nur meine Anwendungen mit Session + IP + Zeit abgesichert (Also Zeit für ne Timeout)
    Um das zu KNacken muss man schon gut sein, denn : IP faken (man muss erstmal wissen welche), die SessionID Faken (ok das ist nicht so schwer) und man muss genau den Zeitpunkt appassen, wann der User sich eingeloggt hat.
    Ist eigentlich ziemlich schwierig.
    Allerdings wenn du es wirklich sicher brauchst, SSL, ist da die einzige lösung.
    Aber wie schon gesagt, für nen browsergame evtl zu übertrieben und vllt. auch zu teuer (Wenn man sich überlegt, was ne SSL - Lizenz kostet 😉 )

    Allerdings hatte ich bisher noch überhaupt ganz und gar keine Probleme mit der o.g. Mehtode 😉

    Liebe grüsse

    0
  • F

    ja bloß wie schon gesagt wurde, man sollte auch an zb aol user denken (obwohl die ja selber schuld sind) da aol ja auf seinen proxies neuerdings load-balancing macht, ein user also mit 10 verschiedenen ip's durch die gegend surfen kann

    0
  • M

    fallen schrieb:

    ja bloß wie schon gesagt wurde, man sollte auch an zb aol user denken (obwohl die ja selber schuld sind) da aol ja auf seinen proxies neuerdings load-balancing macht, ein user also mit 10 verschiedenen ip's durch die gegend surfen kann

    Das ist ja wohl deren problem und nicht deins oder? 😉

    Um es mal aufs wichtigste zu dezimieren: wer so dumm ist, aol als ISP zu nehmen.... (ich gehörte früher auch mal dazu *kopfschüttel*)

    liebe grüsse

    0
  • S
    Mod

    OMG

    ist das echt euer ernst????

    0
  • F

    mrchat schrieb:

    Das ist ja wohl deren problem und nicht deins oder? 😉

    Um es mal aufs wichtigste zu dezimieren: wer so dumm ist, aol als ISP zu nehmen....

    ne das IST mein problem, da ich ja einen möglichst großen benutzerstamm erreichen möchte, MUSS ich so programmieren, dass jeder benutzer, sofern er denn einen DOM, CSS und html konformen browser benutzt, meine seite benutzen kann.

    klar ich mach aol auch nicht, aber es aol hat immerhin einen nicht zu übersehenden kundenstamm (laut werbung immerhin 30mio weltweit)

    0
  • A

    uga-agga ist ein open-source browser game, zu haben ein sourceforge.

    dort is es jedenfalls so gut geloesst worden, dass ich bis jetzt noch keinen fall kenn, in dem man eine fremde session uebernehmen konnte. (bei ca 7,5k spielern).

    0
  • M

    fallen schrieb:

    ne das IST mein problem, da ich ja einen möglichst großen benutzerstamm erreichen möchte, MUSS ich so programmieren, dass jeder benutzer, sofern er denn einen DOM, CSS und html konformen browser benutzt, meine seite benutzen kann.

    klar ich mach aol auch nicht, aber es aol hat immerhin einen nicht zu übersehenden kundenstamm (laut werbung immerhin 30mio weltweit)

    Ja schon richtig.

    Aber mal ne andere idee:
    Schau dir doch mal das Management von dem PHPBB - Forum an, die haben das doch wohl auch hinbekommen. Ich mein, hier gibt es doch sicherlich auch AOL - User oder? 😉

    liebe grüsse

    0
  • F

    ist im phpbb ein ipcheck drin?

    0
Anmelden zum Antworten