Probleme mit dem Cookie-Datenschutz

theLMF

Mitglied
Also bevor ich mein Problem schildere, beschreib ich erst einmal den "Aufbau", mit dem das Problem zu tun hat - wer sich alles vor Ort anschaune möchte kann das auch tun (--> http://www.radioaktiv-lan.de - bitte das hier NICHT als Werbung auffassen)
Also fang ich mal an: jeder teilnehmer unserer lan-party kann sich in einen login-bereich einloggen - seine id und das passwort werden dann in einem cookie gespeichert, damit er beim nächsten mal nicht das dumme passwort-name-spiel machen muss - das funktioniert eigentlich ganz gut
im login-bereich kann (wenn er will) seine daten ändern - hier kommt dann das problem:
ist die cookie-sicherheit (eiunstellbar im ie unter intenretoptionen) nicht auf niedrig gestellt, wird die änderung nicht anerkannt
meine frage: wie muss ich den cookie speichern, damit das nicht passiert bzw. was mach ich beim speichern falsch
(der cookie wird normal mit setcookie gespeichert)
 
hmm,

ie suxx also am besten nimmst einen anderen Browser, ich glaube nicht dass du da von der php Seite was amchen kannst. Sicher bin ich mir allerdings nicht, aber ich kann mir nicht vorstellen dass du da was anpassen kannst.
Was du allerdings machen kannst was sicher geht ist es mit sessions zu lösen und die SessionID via URL übergeben, dadurch vermeidest du Cookies komplett.
 
vielleicht suckt der IE, aber 70% oder mehr der User nutzen ihn trotzdem, deswegen nützt ihm ein anderer Browser nciht viel, wenn andere es nicht auch machn. Aba das weißt du ja selbst. ;)

Ansonsten kannst du es auch anders machen.
Nimm wie schon gesagt session_ids.
Ich habs aber gelöst ohne die session_ids über die URL zu übergeben!
Allerdings benötigt das wieder ne Datenbank!
Also wenn sich jemand einloggt, dann wird ne session_id erstellt und es wird die IP des users ermittelt.
diese werden beide in ne Tabelle gespeichert, wobei die session_id nochmal in einer spalte der usertabelle gespeichert wird.
Wenn jetzt der User auf eine seite geht, wird immer die IP ermittelt und es wird in der Tabelle danach gesucht.
Wenn es die IP gibt, dann wird in der zeile die Session_id entnommen undm it ihr wird in der Usertabelle gesucht, wenn sie dort auch gefunden wurde, dann gibt es diesen user und er sit noch eingeloggt.
Somit hat das den Vorteil, dass der user solange eingeloggt ist, bis er offline geht und wenn er ne standleitung hat, brauch er sogar sich nie einloggen und das ganze ist ohne cookie und auch sicher!
In meinem Fall hab ich das in eine Klasse geschrieben, damit der ganze überprüfungscode nicht auf jede seite muss und somit nur die Funktion aufgerufen werden muss.
(Hab sogar für die Funktion nen Tut geschrieben... falls es jemand haben will, kann ich es hier posten)
 
hmm,

Original geschrieben von Razorhawk
brauch er sogar sich nie einloggen und das ganze ist ohne cookie und auch sicher!

Ich sag es nicht gerne aber das ist unbrauchbar, was machst du wenn Leute über einen Proxy surfen und dadurch alle dieselbe IP haben, dann hast du ein Problem und eine Sicherheitslücke dazu weil du nicht weisst wer denn gerade die IP benutzt der eine Anfrage stellt, ich brauch nur den Nickname des anderen Users und schon kann ich seinen Account benutzen !!
 
Wenn wer über einen Proxy surft, muss man halt dessen echte IP rausfinden... ist ja kein allzu großes Problem.

Was aber dann immer noch passieren kann, ist, dass jemand wegen der dynamischen Vergabe die IP eines anderen bekommt und sich dann in dessen Account einloggen kann. Darum würde ich zusätzlich zur IP und Session-Id noch eine Timestamp der letzten Aktion des Users speichern. Wenn dieser dann eine bestimmte Zeitspanne lang nichts unternimmt, gilt er als ausgeloggt (Datenbankeintrag löschen, Session zerstören).
 
mhm.. lieg ich da falsch oder richtig... es gibt im internet auch anonyme proxys.. da ist dann nichts mehr mit richtiger ip rausfinden...... nur mal so als gedanke...
 
das siehst Du falsch. Es gibt keine absolute anonymitaet im internet.

wenn Du ueber einen dieser Proxies ins inet gehst dann wird automatisch deine IP (und alles was Du im inet (downlaod etc machst))bei dem anbieter gespeichert.. und somit bist Du immer wieder auffindbar. :-)
 
hmm,

IMHO geht dass nicht , nehmen wir ein kleines LAN das via PROXY ins Netz geht, oder per DSL Router, da hast nur die Proxyserver IP bzw. die des DSL Anschlusses, die 192.168.0.x Addy des Rechners bekommst du nicht raus, für was auch ?? Da sehe ich das Problem, es geht nicht darum irgendwas im Inet zu Faken usw.

Naja und @loki , es gibt 'anon' Server, diese Senden einfach alles komplett neu, so als würden sie es sebst anfragen. Natürlich speichern diese auch die Addy des Users der den Server benuttz aber die Website die aufgerufen wird kann dies alleine nicht rausfinden, das kann nur der Webmaster via Socialengineering bei den Betreibern des Servers.
 
boolean setcookie ( string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])

was hast du bei int secure angegeben?
mein tipp: 1
 
Zurück