phpbar.de logo

Mailinglisten-Archive

[php] Login-Cookie: Welcher Inhalt?

[php] Login-Cookie: Welcher Inhalt?

Nico Haase nico.haase at gmx.de
Sam Nov 19 21:47:37 CET 2005


Hallo Michel,
nur mal so ne Frage: Warum stellst du in deinem Mailprogramm den Absender
nicht so ein, dass dein Vorname auch drin vorkommt? Egal, weiter zum Thema:

> Für das Cookie einfach nur einen Key generieren den ich serverseitig
> speicher und dieser zeitlich oder aktionsbasiert begrenzt ist.
>
> Das heisst:
>
> Generiere Key serverseitig der im Cookie und serverseitig
> beim Benutzer vermerkt ist. Im folgenden würde ich in zeitlichen
> Intervallen oder nach soundsoviel Aktionen auf dem Server diesen
> neu generieren und wieder speichern im Cookie und auf Server.

Auch wenn ich den Gedanken teile, dass du dann einen zwischenzeitlichen
Schutz hast, gibts für mich trotzdem folgendes Problem: "Klaut" jetzt jemand
in dem Zeitfenster das Cookie, bekommt er ja auch einen neuen Key zugeteilt,
wenns nötig ist. Und nach Ende des Zeitfensters kommt der Besitzer genauso
wenig in seinen Account rein.
Problem ist ganz einfach, dass ich für einen Administrationsbereich einen
Login brauche, und der Kunde sich nicht immer wieder mit dem Passwort
herumschlagen soll. Da läuft man imho zu schnell Gefahr, dass dann nur noch
zu einfache Passwörter gewählt werden ;)
mfg
Nico

-- 
www.buchtips.net - Rezensionen online

php::bar PHP Wiki   -   Listenarchive