Sicherheitsrisiko bei verschlüsselter Passwortspeicherung?

VanHellsehn

VanHellsehn

Erfahrenes Mitglied
Hallo Community,

ich schreibe gerade an einem Project und es ist dringend nötig das Passwort mit einer UserSession mit sich zu führen. Nun war mein Gedanke die die Session quasie beim Client ab zu legen, aber verschlüsselt.

Ich benutzte das Slimframework was dieses praktischerweise auch schon anbietet aber bei der Dokumentation steht:
PLEASE NOTE: Client-side storage of session data is not recommended if you are dealing with sensitive information, even when using Slim’s encrpyted session cookie middleware. If you need to store sensitive information, you should encrypt and store the session information on your server.
Zum Vergrößern anklicken....

Nur ich frage mich was spricht dagegen Daten bei einem Benutzer für maximal einen Tag abzulegen die auch noch verschlüsselt sind?
 
Hi

VanHellsehn hat gesagt.:
ich schreibe gerade an einem Project und es ist dringend nötig das Passwort mit einer UserSession mit sich zu führen.
Zum Vergrößern anklicken....
Dann ist bei deinem Projekt was danebengegangen.
Auch, wenns hart klingt, aber bei vernünftigem Aufbau passiert sowas nicht.

Sicherheitsmäßig das Beste wäre es, am Client gar nichts außer einer Sessionid zu haben.
 
Noch ist ja nichts geschehen aber es MUSS das kennwort zum Entschlüsseln von Daten gespeichert werden so das man wenn man den Server über nimmt keine Daten ausspähen kann. Also meine frage ist: Wie kann ich das realisieren?
 
Wenn ich den Server übernehme und an die Daten will muss ich
a) diese Daten, falls Kennwort vorhanden, entschlüsseln können. Kann der Server ja dann sowieso
b) weil das Kennwort nur beim Client zu finden ist:
Den Programmcode einfach etwas anpassen, so dass das Kennwort eines Benutzers
bei seinem nächsten Besuch auch am Server irgendwo mitgeloggt wird.
...man muss nur warten, bis der Benutzer mal wiederkommt, und schon hat man alles.

Um dem Serverbesitzer keine Möglichkeit zu geben darf das PW nicht zum Server
und die Entschlüsselung nur auf Clientseite stattfinden.

Jedenfalls, was ist das überhaupt ein Projekt?
Ohne zu wissen, was es ist kann man schwer was vorschlagen.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück