phpbar.de logo

Mailinglisten-Archive
[php] Login-Cookie: Welcher Inhalt?

[php] Login-Cookie: Welcher Inhalt?

Zobel M. zobel at hnw-online.de
Sam Nov 19 22:42:07 CET 2005 

Nico Haase wrote:

>Hallo Michel,
>nur mal so ne Frage: Warum stellst du in deinem Mailprogramm den Absender
>nicht so ein, dass dein Vorname auch drin vorkommt? Egal, weiter zum Thema:
>
>  
>
Bin zuviel unterwegs, immer mal schnell IMAP hier und da konfiguriert 
und mich an noch kein Webinterface gewöhnt :)
Sorry

>Auch wenn ich den Gedanken teile, dass du dann einen zwischenzeitlichen
>Schutz hast, gibts für mich trotzdem folgendes Problem: "Klaut" jetzt jemand
>in dem Zeitfenster das Cookie, bekommt er ja auch einen neuen Key zugeteilt,
>wenns nötig ist. Und nach Ende des Zeitfensters kommt der Besitzer genauso
>wenig in seinen Account rein.
>Problem ist ganz einfach, dass ich für einen Administrationsbereich einen
>Login brauche, und der Kunde sich nicht immer wieder mit dem Passwort
>herumschlagen soll. Da läuft man imho zu schnell Gefahr, dass dann nur noch
>zu einfache Passwörter gewählt werden ;)
>mfg
>Nico
>
>  
>
Wenn sich der Kunde kein Passwort merken kann dann würde ich auf 
Lösungen zurückgreifen die eine Hardwarekomponente erfordern z.B. das 
Abspeichern eines Schlüssels auf USB-Stick der zur Authentifizierung 
verwendet wird. Je nach dem wieviele Möglichkeiten du zur serverseitigen 
Knfiguration hast kann man sich viel ausdenken. Wir nutzen als 
kommerzielle Lösungen Chipkarten mit PIN über die sich die Leute 
authentifizieren. Dazu muss allerdings ein Kartenleser installiert sein. 
Denkbar wären auch selbst ausgestellte Client SSL Zertifikate die 
zugelassen werden wenn man an den Webserver kommt.

Für eine genauere Überlegung wäre interessant wieviel Zugriff du auf den 
Server hast.

Rootzugriff?
Kann man Einstellungen am Webserver ändern lassen?
Können zusätzliche Dienste in Anspruch genommen werden?

Wenn man auf einem Server einen S-Tunnel konfiguriert der nur 
Verbindungen mit einem auf dem USB-Stick gespeicherten Zertifikat 
zulässt wäre die Verbindung auch schon gesichert. Vorausgesetzt man 
passt auf den USB-Stick auf.

Alternativ wäre es vielleicht interessant dem Benutzer Varianten 
beizubringen sich komplexe Passwörter einfach zu merken. Dazu gab es 
diesen Monat einen recht guten Thread "Password creating Theories" auf 
security-basics at securityfocus.com Mailingliste. Finde nur gerade den 
Archivlink nicht. Englisch natürlich vorausgesetzt.

mfg Michel

php::bar PHP Wiki   -   Listenarchive