eingeloggt bleiben

Hallo,

also hört sich sehr Intressant an, und zwar gibt bei mein Login Skript nach 3 Mal falsches passwort eingeben das eine Wartezeit vorliegt. Könnte ja in der Zukunft gemacht werden.

Würde es nicht genau das gleiche das Ich im Cookie einfach die ID des Users speicher und dann dadurch die daten ausgelesen werden. Das heisst im Cookie befindet sich nur die Mitgliedsnummer. Das ist doch eine gute Idee oder?


LG
 
Die Antwort liegt nahe, durch bloßes nachdenken. Dazu nimmt man die Rolle eines Angreifers ein und wägt die Vor- und Nachteile ab zwischen:
  • ID des Benutzers erfahren
  • abweichende universelle ID erfahren

Sobald / Nachdem du das gemacht hast, beantworte die Frage in diesem Spoiler:
Sind die Benutzernummern aufsteigend von 1 an? - Denke drüber nach und dir wird ein Licht aufgehen.

Zu welchem Ergebnis bist du gekommen?
 
Zuletzt bearbeitet:
Zurück