Ist das Loginsystem sicher?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
benutzer
code
datenbank
diverse benutzer
erneuten anmeldung
frage
geheimen daten
http
klauen
login
restlichen system
sache
schau
session
stehlen
system
url
verbesserung
vorgang
zahlencode
-
Hi Community?
Ich habe ein Loginsystem geschrieben und wollte euch mal fragen, ob das sicher genug ist.
Also, beim Login werden 3 Cookies gesetzt. Ein Cookie mit dem Wert 'inlogged', einer mit der User-ID und einer mit einem zufälligen 20-stelligen Zahlencode. Dieser Code kommt auch in die Datenbank. Der Code wird bei jedem Login erneuert.
Die geheimen Daten werden nur angezeigt, wenn folgendes gewährleistet ist:
Cookie1 ist 'inlogged',
Der Wert von Cookie3 ist dort in der Datenbank, wo die User-ID Cookie 2 ist.
Ist das soweit sicher, oder gibts da Verbesserungen? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hi,
die Frage wäre, in welcher Hinsicht du das Skript sicher haben willst...
Sicher, dass keiner die Session klauen kann? - hängt vom restlichen System ab, aber jeder, der weiß, dass du 3 Sachen abfragst, kann auch die 3 Sachen stehlen... XSS
Sicher vom Login-Vorgang her? - hängt vom Passwort ab.
Du kannst das System allerdings noch sicherer machen, indem du zusätzlich noch einen Timestamp der letzten Aktivität des Benutzers anlegst und den Benutzer, wenn er XX Minuten nicht aktiv war, zur erneuten Anmeldung zwingst. Zudem kannst du es sicherer machen, wenn du keine User-Daten beim Benutzer speicherst (User_ID). Zusätzlich könntest du noch die IP Adresse mitloggen. Allerdings würdest du hiermit den Autologin beim Wiederkehren in der Regel unterbinden und möglicherweise auch diverse Benutzer generell aussperren.
Was spricht eigentlich gegen Sessions? Soweit ich dich verstanden habe, nutzt du einen selbst generierten Zahlencode...
Schau doch einfach mal in bereits existierende Systeme, wie Joomla, phpBB etc., und schau dir dort an, wie der Login gelöst wurde. Daran haben bereits viele Menschen gearbeitet, es gibt große Communitys drumherum und letztendlich werden diese sich bereits Gedanken über Sicherheit vs. Useability gemacht haben. Denn ist dein System zwar sicher, aber es kann keiner Nutzen, ist auch niemandem geholfen.
Gruß
Karlja -
Sicher, dass keiner die Session klauen kann? - hängt vom restlichen System ab, aber jeder, der weiß, dass du 3 Sachen abfragst, kann auch die 3 Sachen stehlen... XSS
Sicher vom Login-Vorgang her? - hängt vom Passwort ab.
Ja. das ist dann wieder eine andere Sache, vor SQL-Injection und XSS hab ich mich schon geschützt.
Bei phpbb werden Sessions genutzt, aber ich habe eigentlich keine Lust, mein Loginsystem jetzt so sehr umzustellen. An das mit der User-ID nicht speichern werd ich mich aber mal dran setzen.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
