Konzept für Session Log-in

E

emmjay

Grünschnabel
Hallo zusammen,

ich versuche zur Zeit mal mich mit einem eigenen User Login herumzuschlagen. Der konzeptionelle ansatz ist mir ja soweit geläufig. Sprich benutzer registriert sich und sein Passwort wird als md5 Hash in die Datenbank geschrieben. Wenn er sich beim nächsten mal anmeldet wird das eingegebene Passwort ebenfalls gehasht und mit dem in der Datenbank verglichen. Soviel dazu. Wenn der User authentifiziert ist wird ein Zeitstempel, sowie weitere Daten in die Session Variabeln registriert und eventuell noch als Cookie auf dem Rechner des Users abgelegt. Schliesst der User den Browser und geht wieder auf die Seite im entsprechenden Zeitraum, kann er auf die Seite zugreifen oder wahlweise bei abgelaufenem Zeitraum muss er sich neu anmelden.

So jetzt zu meiner Frage. Muss ich sicherheitstechnisch noch irgendwas bedenken, oder wie baut man eine solche Routine so auf, daß Sie möglichst sicher ist. An dieser Stelle habe ich leider relativ wenig Erfahrung und bin für jede Hilfe dankbar.


Gruss
EmmJay
 
also wenn ich das jetzt richtig verstanden habe...hast du logischer weise ne Session und möchtest deine Page sichern?

wenn dem so is...
ich habe selbst ein Login System...nicht ganz aus eigener Hand gezogen...aber dennoch soweit selbst meiner Seite angepasst....

Aufbau:
User hat keine berechtigung = bekommt Status 1
User hat sich erfolgreich eingeloggt (DB Username und Pass abfrage)=bekommt Status 2

um nun meine Seiten zu schützen frage ich bei jeder Seite am anfang ab ob der User den status 2 in seiner Session hat....
So sieht meine authentifizierung.php aus:
PHP: 
<?PHP
session_start();

if ($_SESSION["authenticated"]!=2){
header("Location:noin.php");
exit;
}
?>

ich denke mal was er da macht is klar...wenn nicht ich kanns erklären, bei Bedarf!^^

nun wird diese datei per
PHP: 
<?php  include('authentifizierung.php');  ?>
in die Seiten eingefügt...welche Geschütz sein sollen....

Dies ist meine variante...ich hoffe ich konnte Helfen!^^
Wenn nich: Beschwert euch bei mir, fals ich was falsch verstanden oder miest gebaut habe!^^ :-)

Greetz
Marycio
 
Erstmal Danke für die Antwort. Das Konezept ist mir generell klar. Ich hab mich halt lediglich gefragt, in wie weit es Möglichkeiten oder Sicherheitskonzepte gibt um eine solche Log-in Funktion wirklich sicher zu machen, sodaß keiner das ganze DIng manipulieren kann von aussen.

War einfach so ins Blaue gefragt, da ich in dem Thema Session Login noch frisch bin und einfach mal von Profis hören wollte, ob es neben dem Passwortabgleich der Datenbank und den Session bzw mit Session Variabel Kniffe gibt das ganze Ding wasserdicht zu machen.
 
Dasselbe frage ich mich auch gerade.
Ich meine, SessionIDs können doch bestimmt gefälscht werden (änlich der Fälschung von Post-formularen), oder nicht?

Lukaro
 
Ich denke Sessions duerften recht sicher sein.
Bei einem normalen Cookie ist das Problem, dass er lediglich auf der Clientseite existiert und auf dem Server nur der Inhalt gecheckt wird. Eine Session jedoch wird auch auf dem Server gespeichert und somit duerfte das Problem entfallen, dass sich jemand einfach einen Session-Cookie schreibt und sich damit als jemand anders einloggen kann.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück