PW merken durch Cookie?

[valkuere]

Im Browser kann man sich ja wunderbar seine PW's merken, so dass man diese nicht mehr eintippen muss.
Nur wie funktioniert das aus php heraus? Sagen wir es gibt beim login eine checkbox; hier kann man auswählen ob man sich das PW merken möchte. Dies wird doch in Form eines Cookies gemacht oder? Sieht dass dann ungefähr so aus:

setcookie("PW", $pw);

Das kann doch aber nicht alles sein oder?
Was gehört noch dazu?

 

[Gumbo]

Das Passwort in einem Cookie zu speichern, ist ein riesen Sicherheitsrisiko und solltest du ganz schnell vergessen. Bei dieser Funktion zum automatischen Anmelden wird eher eine Sitzungs-ID oder ein anderes Merkmal gespeichert, anhand dessen das Skript den Benutzer identifizieren kann.

 

[Kona]

Hab das Thema grad eben entdeckt und da hab ich noch ne Frage dazu:

Tutorials.de speichert ja auch gewisse Informationen in einem Cookie. Da gibts auch einen Eintrag, der offensichtlich das verschlüsselte Passwort enthält. Wie sicher sind solche Verschlüsselungen, z.B. MD5? Was gibt es für solche Zwecke noch für gute Funktionen?

 

[Matthias Reitinger]

Hallo,

MD5 ist kein Verschlüsselung, sondern eine Hash-Funktion (Prüfsummen-Prinzip). Die Ermittlung eines möglichen Ursprungswertes zu einem MD5-Hash ist nicht unmöglich, aber u.U. sehr „rechenzeitaufwendig“. Etwas sicherer, aber auch nicht unüberwindbar sind die Hash-Funktionen der SHA-Familie.

Grüße,
Matthias

 

[Radhad]

Dann stellt sich mir die Frage: wie müsste ein Cookie aussehen, damit die Auto-Login Funktion klappt? Mein Logi-Script ist dem aus dem Tutorial nachempfunden. SessionID's werden nirgendswo gespeichert und somit wird man auch nicht automatisch ausgeloggt nach X Sekunden.

 

[hubeR83]

UserID, MD5-Hash des Passworts und evtl Bereich in dem man sich befindet, oder Seite... ist denke ich, die Standard Methode. Sofern man das Passwort nicht in Klartext im Cookie speichert, sollte das wohl ein kleineres Problemchen sein...