Cockie's und Sicherheit

[ctrl]

Hallo Leute

Bisher habe ich mich aus Sicherheitsgründen immer geweigert Cookie's einzusetzen. Allerdings müsste ich für die Seite an der ich gerade arbeite, eine Auto-Login Möglichkeit implementieren.

Wie kann ich Cookie's zumindest halbwegs sicher machen? Mich wurmt der Gedanke, Benutzername und Passwort auf dem jeweiligen Client speichern zu müssen.

Danke schonmal

 

[Chino]

Original geschrieben von ctrl
Mich wurmt der Gedanke, Benutzername und Passwort auf dem jeweiligen Client speichern zu müssen.

Speicher einfach die jeweilige Benutzer-ID und das Passwort als md5-Hash ab. Beim Login auf die Seite fragst Du die Datenbank einfach nach der ID aus dem Cookie ab und vergleichst das Passwort aus der Db mit dem aus dem Cookie. In der Datenbank sollte das Passwort ebenfalls als md5-Hash abgelegt worden sein.

 

[Ralph]

Und damit das ganze dann noch sicherer ist, prüfst Du die Variablen nicht über die URL sondern über das globale Array $_COOKIE

 

[ctrl]

In der Datenbank sollte das Passwort ebenfalls als md5-Hash abgelegt worden sein.

Ja Passwörter speicher ich auch als MD5-Hash in der DB. Wenn ich nun den MD5-Hash einfach so in's Cookie schreibe, liegt das Passwort (in dem Fall der MD5-Hash) für jeder man offen auf dem Client-Rechner. Aber ok, Benutzername steht ja nicht im Cookie sondern die ID.

Und damit das ganze dann noch sicherer ist, prüfst Du die Variablen nicht über die URL sondern über das globale Array $_COOKIE

Hatte ich auch so geplant

Danke für eure Tips.