phpbar.de logo

Mailinglisten-Archive

[php] Login-Cookie: Welcher Inhalt?

[php] Login-Cookie: Welcher Inhalt?

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Sam Nov 19 21:58:53 CET 2005


Hi Nico,

Am Samstag, 19. November 2005 20:37 schrieb Nico Haase:
> für eine Benutzerverwaltung möchte ich einen Cookie setzen, um dauerhaften
> Login zu ermöglichen. Welche Daten sollte ich dort unterbringen?
> Hauptsächlich natürlich die Benutzer-ID, klar, aber in welcher Form das
> Passwort? Setze ich es als Klartext rein, ist das Hacken total witzlos,
> aber auch in md5()-verschlüsselter Form kann man ja durch einfaches
> Kopieren des Cookies ebenfalls einen Login erzielen - gibt es da eine
> Wunderlösung für...?

mal ganz abgesehen davon, daß ich einen dauerhaften Login für ein 
Sicherheitsloch par Excellence halte, bin ich der Meinung, daß es nur des 
Cookies für Deine Anwendung und der Benutzer-ID bedarf. Das Passwort gehört 
da erstens nicht rein und ist ja auch zweitens gar nicht von Nöten, denn wenn 
der Cookie gesetzt ist, hat sich der Benutzer ja einmal mit Passwort korrekt 
angemeldet. ;-)

Viele Grüße
Lutz

php::bar PHP Wiki   -   Listenarchive