4. [PHP] Cookie setzen nach Login für autom. Login?

[PHP] Cookie setzen nach Login für autom. Login?

  • S

    1ntrud0r schrieb:

    hmm du speicherst dir die session doch in einer mysqldb oder ?? 🙄 🙄

    Nope ich speichere bloß Userdaten. Das ich jedesmal die Session-ID mitspeichere ist imho sehr aufwendig - aber wenns anders nicht sicher ist.

    MfG SideWinder

    0
  • F

    Wie sieht denn bei dir eine User-ID aus? ist das ein md5?

    0
  • 1

    user id als md5 ist schwachsinn .. aber vielleicht so blöd das keiner drauf kommt 😃

    0
  • F

    kommt darauf an, wie er seine User-ID verwendet :p

    0
  • S

    Und wenn ich jedem einfach eine 255-stellige Unique-Zahl kreiere die ich im Cookie speichere? Über die ist er a) eindeutig identifizierbar b) sie ist sicher, da er egal was er einsetzt in 99,9999% der Fälle keinen anderen User erwischt sondern eine ungültige ID c) wie gesagt, ein Bruteforce dauert zu lange.

    Und wichtige Daten speichere ich ja nicht, wer einen User hackt hat keine wesentlichen Vorteile.

    Ist das halbwegs sicher?

    MfG SideWinder

    0
  • F

    Das meinte ich ja! Wenn jeder User z.B. eine 32-stelligen md5-ID hat, die eigentlich nur deine DB kennt / kennen muss, sehe ich keine großen Probleme darin, die beim User zu speichern.
    Also so in der Art: User loggt sich ein - du liest die ID aus der DB und speicherst sie in einem Cookie. Kommt der User später wieder erkennst du ihn gleich anhand seiner User-ID.

    Etwas problematischer wird es nur, falls der User eine öffentlichen Zugang benutzt und vergisst sich auszuloggen bzw. du ihm gar nicht die Möglichkeit dazu gibst.

    0
  • 1

    255 stellig wo wir dann wieder bei den datenmengen wären 🙂 wenn du nun ne kleine ... seite machst mit 20 usern isses wurscht .. aber bei >5000 usern ist das halt dann wieder unnötiger trash afaik .. 🙄

    wenn nen user sich hacken lässt ist er doch selber schuld imho .. ( auf seinem pc )

    Etwas problematischer wird es nur, falls der User eine öffentlichen Zugang benutzt und vergisst sich auszuloggen bzw. du ihm gar nicht die Möglichkeit dazu gibst.

    dafür spricht id + md5(session_id)
    wenn er sich wo anderst einloggt ist er dann überall auf jedem andren pc ausgeloggt und das cookie schlägt auch fehl ..

    0
  • S

    Na also zur Zeit gibts eine User-ID, allerdings ist die weder md5 noch ungeordnet (sondern geht von 1-unendlich) - nicht sicher also, da beliebig editierbar.

    Ich tippe auf ca. 30 User (Klassenkollegen) -> da sollten bereits 10 Stellen reichen - auch wenn ich sicherheitshalber 20 nehmen werde. Da dauert dann auch der Bruteforce zu lange für die Informationen die er bekommt (uh, Programmdownloads die wir in der Schule schreiben, Hausübungen-Upload, böse :D).

    MfG SideWinder

    0
  • C

    Du könntest dir auch aus den UserDaten (bestimmte Felder) einen String basteln und den mit MD5 versehen. Dadurch wird die angreifbarkeit schon merklich reduziert.

    0
  • 1

    CengizS schrieb:

    Du könntest dir auch aus den UserDaten (bestimmte Felder) einen String basteln und den mit MD5 versehen. Dadurch wird die angreifbarkeit schon merklich reduziert.

    auch keine schlechte lösung 🙂 + session_id und es ist fast perfekt

    0
Anmelden zum Antworten