DRINGEND: Cookie auf Webserver
- Themenstarter kesnw
- Beginndatum
Ok, anders. Kann ich irgendwas ähnliches wie ein cookie auf dem Webserver speichern, das ich auf Existenz überprüfen kann
Ich arbeite mit Sessions und die sind ja nicht unbedingt sehr sicher. Nun möchte ich etwas implementieren, das mir im header jeder seite überprüft, ob die Session UND ein "Cookie" auf dem Webserver existieren.
Ich arbeite mit Sessions und die sind ja nicht unbedingt sehr sicher. Nun möchte ich etwas implementieren, das mir im header jeder seite überprüft, ob die Session UND ein "Cookie" auf dem Webserver existieren.
Zuletzt bearbeitet:
Sven Petruschke
Erfahrenes Mitglied
@kesnw: Du solltest uns velleicht verraten, was du eigentlich vor hast.
Schreibe eine Studienarbeit und meine Frage ist ob das folgende korrekt ist:
"Nach Eingabe der Zugangsdaten wird durch die Funktion authenticate($_POST["user"],$_POST["pass"]) überprüft ob der eingegebene Benutzername in der Datenbank DB 2 existiert und das Passwort zu diesem Benutzernamen passt. Trifft dies zu, wird eine Session initialisiert. Die Unterstützung von Sessions in PHP bietet die Möglichkeit, bestimmte Daten während einer Folge von Aufrufen der Website festzuhalten. Der Webserver ist so konfiguriert, dass der Server nur temporäre Cookies akzeptiert, wodurch die Session-ID nicht über die URL weitergegeben werden kann.
Je nach Aktivität eines potentiellen Angreifers, gibt es viele Wege, auf denen die Session-ID an Dritte gelangen kann. Deshalb wird nach Registrierung der Session clientseitig ein zusätzliches Cookie gesetzt. Wenn einem potentiellen Angreifer die Session-ID bekannt wird, benötigt dieser zusätzlich dieses Cookie auf seinem PC um die Seiten zu laden. Der Name des Cookies entspricht dem 32-bit verschlüsselten Benutzernamen und dessen Lebenszeit wird nach dem Aufruf jeder Seite erneut auf 1200 Sekunden begrenzt. Nachfolgend werden alle Inhalte des Fragebogens in Session-Variablen geladen. Zudem wird der Benutzername, welcher 32-bit verschlüsselt in der Datenbank gespeichert ist, in einer weiteren Session-Variable - $_SESSION['username'] - gespeichert. Erst jetzt ist der Anmeldevorgang beendet und der Benutzer wird auf die erste gesicherte Seite des Portals weitergeleitet.
Nach erfolgreichem Start der Session, wird im Header jeder gesicherten Seite überprüft, ob das Cookie mit dem Namen des Benutzers existiert und ob die Session-Variable $_SESSION['username'] vorhanden ist."
Ist das logisch und korrekt
"Nach Eingabe der Zugangsdaten wird durch die Funktion authenticate($_POST["user"],$_POST["pass"]) überprüft ob der eingegebene Benutzername in der Datenbank DB 2 existiert und das Passwort zu diesem Benutzernamen passt. Trifft dies zu, wird eine Session initialisiert. Die Unterstützung von Sessions in PHP bietet die Möglichkeit, bestimmte Daten während einer Folge von Aufrufen der Website festzuhalten. Der Webserver ist so konfiguriert, dass der Server nur temporäre Cookies akzeptiert, wodurch die Session-ID nicht über die URL weitergegeben werden kann.
Je nach Aktivität eines potentiellen Angreifers, gibt es viele Wege, auf denen die Session-ID an Dritte gelangen kann. Deshalb wird nach Registrierung der Session clientseitig ein zusätzliches Cookie gesetzt. Wenn einem potentiellen Angreifer die Session-ID bekannt wird, benötigt dieser zusätzlich dieses Cookie auf seinem PC um die Seiten zu laden. Der Name des Cookies entspricht dem 32-bit verschlüsselten Benutzernamen und dessen Lebenszeit wird nach dem Aufruf jeder Seite erneut auf 1200 Sekunden begrenzt. Nachfolgend werden alle Inhalte des Fragebogens in Session-Variablen geladen. Zudem wird der Benutzername, welcher 32-bit verschlüsselt in der Datenbank gespeichert ist, in einer weiteren Session-Variable - $_SESSION['username'] - gespeichert. Erst jetzt ist der Anmeldevorgang beendet und der Benutzer wird auf die erste gesicherte Seite des Portals weitergeleitet.
Nach erfolgreichem Start der Session, wird im Header jeder gesicherten Seite überprüft, ob das Cookie mit dem Namen des Benutzers existiert und ob die Session-Variable $_SESSION['username'] vorhanden ist."
Ist das logisch und korrekt
Sven Petruschke
Erfahrenes Mitglied
Wenn du mit 32-Bit-Verschlüsselung die Bildung eines Hash-Wertes mittels md5 meinst, dann ist das falsch.
Es ist wohl eher richtig, dass der PHP-Interpreter für die Ausführung des Scriptes (oder immer) so konfiguriert ist, dass session.use_only_cookies aktiviert ist und somit die Session-ID immer in einem Cookie auf dem Client abgelegt wird (falls möglich) und niemals automatisch an URL angehängt wird.
