phpbar.de logo

Mailinglisten-Archive

[php] Login-Cookie: Welcher Inhalt?

[php] Login-Cookie: Welcher Inhalt?

Zobel M. zobel at hnw-online.de
Sam Nov 19 21:10:49 CET 2005


Hallo,

Nico Haase wrote:

>Hallöchen,
>für eine Benutzerverwaltung möchte ich einen Cookie setzen, um dauerhaften
>Login zu ermöglichen. Welche Daten sollte ich dort unterbringen?
>Hauptsächlich natürlich die Benutzer-ID, klar, aber in welcher Form das
>Passwort? Setze ich es als Klartext rein, ist das Hacken total witzlos, aber
>auch in md5()-verschlüsselter Form kann man ja durch einfaches Kopieren des
>Cookies ebenfalls einen Login erzielen - gibt es da eine Wunderlösung
>für...?
>mfg
>Nico
>
>  
>

auch wenn ich das noch nie praktiziert habe weil es mir zu unsicher wäre 
würde ich folgende Sachen versuchen:

Für das Cookie einfach nur einen Key generieren den ich serverseitig 
speicher und dieser zeitlich oder aktionsbasiert begrenzt ist.

Das heisst:

Generiere Key serverseitig der im Cookie und serverseitig beim Benutzer 
vermerkt ist. Im folgenden würde ich in zeitlichen Intervallen oder nach 
soundsoviel Aktionen auf dem Server diesen neu generieren und wieder 
speichern im Cookie und auf Server.

Wenn also jemand diesen Cookie kopiert dann wäre zumindest keine 
unbegrenzte Nutzung notwendig. Man könnte auch serverseitig prüfen ob 
ein veralteter Key verwendet wurde wenn inzwischen schon ein neuer Key 
verteilt wurde. Ein Cookie dürfte ja bedeuten das ich mich "immer" auf 
dem selben Rechner befinde.

Wenn möglich kann man bei festen IPs auch diese mit einbinden. 
Vielleicht den UserAgent in den Key mit einbauen wenn man sich sicher 
ist das er sich nicht ändert?

Im Allgemeinen interessiert mich dieses Thema auch. Habe aber noch keine 
zufriedenstellende Lösung gefunden die vom Browser bzw. vom 
Betriebssystem unabhängig wäre.

Nur ein paar Ideen....

mfg Michel

php::bar PHP Wiki   -   Listenarchive