phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Login-Cookie: Welcher Inhalt?

Nico Haase nico.haase at gmx.de
Sam Nov 19 22:07:43 CET 2005

Vorherige Nachricht: [php] Login-Cookie: Welcher Inhalt?
Nächste Nachricht: [php] Login-Cookie: Welcher Inhalt?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Moin Lutz,

>> für eine Benutzerverwaltung möchte ich einen Cookie setzen, um
>> dauerhaften Login zu ermöglichen. Welche Daten sollte ich dort
>> unterbringen? Hauptsächlich natürlich die Benutzer-ID, klar, aber
>> in welcher Form das Passwort? Setze ich es als Klartext rein, ist
>> das Hacken total witzlos, aber auch in md5()-verschlüsselter Form
>> kann man ja durch einfaches Kopieren des Cookies ebenfalls einen
>> Login erzielen - gibt es da eine Wunderlösung für...?
>
> mal ganz abgesehen davon, daß ich einen dauerhaften Login für ein
> Sicherheitsloch par Excellence halte, bin ich der Meinung,
> daß es nur des
> Cookies für Deine Anwendung und der Benutzer-ID bedarf. Das
> Passwort gehört da erstens nicht rein und ist ja auch zweitens gar
> nicht von Nöten, denn wenn der Cookie gesetzt ist, hat sich der
> Benutzer ja einmal mit Passwort korrekt angemeldet. ;-)

Obwohl ganz ohne eine "Echtheitsbestätigung" das Setzen des Cookies
natürlich für Fremde stark erleichtert wird. Steht da nur die ID drin, ist
Fälschen doch kinderleicht. Aber vielleicht hast du Recht, und die Idee ist
im Allgemeinen nicht so die Wucht ;)
mfg
Nico

Vorherige Nachricht: [php] Login-Cookie: Welcher Inhalt?
Nächste Nachricht: [php] Login-Cookie: Welcher Inhalt?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive