Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Anmeldung immer überprüfen?

Frage Entwicklung PHP

Mitglied: eeucalyptus

eeucalyptus (Level 1) - Jetzt verbinden

24.05.2010, aktualisiert 25.05.2010, 3663 Aufrufe, 12 Kommentare

hallo,

ich bin gerade dabei, ein Webportal zu schreiben.
Dabei habe ich eine Frage zum Anmelden, und zwar:

Sollte man jedes mal, wenn eine Seite geladen wird die Anmeldedaten aus der Datenbank abfragen, oder ist es sicher genug, wenn man das in denn Session-Daten speichert?

Vielen Dank schonmal, für eure Hilfe!

Eike
Mitglied: 1002-btl
24.05.2010 um 18:58 Uhr
Hallo,

es kommt immer darauf an, was für einen Sicherheitsstandard man haben will oder muss.

Eine Sessionvariable zusammen mit einer SSL-Verbindung ist sicherlich für viele Anwendungsfälle OK.

Lediglich ein Cookie zur Identifizierung zu verwenden ist erheblich unsicherer. (In älteren Programmierbeispielen wurde häufig so verfahren, dass im Cookie der Username abgelegt war).

Ich verwende z.B. für (allerdings nur internes Netzwerk) einen GUID als Cookie und eine Verknüpfung zur IP des Rechners, an dem sich der User angemeldet hat und speichere diese zur Identifizierung in einer Datenbank.
Eine Session kann ich nicht verwenden, da die Zugriffe oft zu lange auseinander liegen und die Session somit ablaufen würde. Da ist sicherlich noch kein Verfahren für Onlinebanking, aber für's Intranet reicht es eben aus.

Ein anderer Ansatz wäre, die Sicherheit schon auf der Ebene des Zugriffs zu implementieren (also keine anonymen Zugriffe zulassen).
Dann kümmert sich der Server um die Authentifizierung. Allerdings muss die Anwendung dennoch selbst die Autorisierung für einzelne Zugriffe (wahrscheinlich soll nicht jeder alles dürfen / Nutzer-Rollenprinzip) sicher stellen.

Vielleicht hilft Dir das ja ein wenig bei Deinen Überlegungen weiter.
Bitte warten ..
Mitglied: eeucalyptus
24.05.2010 um 19:11 Uhr
Hallo,

ich habe vor es ohne SSL laufen zu lassen(vor allem aus Kostengründen).
Es muss ja nicht so sicher sein, wie beim Onlinebanking. Allerdings wollte ich wegen der Zeit wissen, ob man nicht einfach den Usernamen und den Passwort-Hash in einer Session-Variable speichern kann, der dann sozusagen als "Ausweis" gilt.
Dann müsste man nicht jedes mal beim Seitenaufruf in der Datenbank nachschlagen, ob der Benutzer mit dem Passwort existiert.

Eike
Bitte warten ..
Mitglied: Multitask
24.05.2010 um 19:47 Uhr
Hallo.

Ich habe es bei einem Intranet-System genau so gemacht wie Du es beschreibst. Das PW steht mit MD5 behandelt in der DB. Beim Login abgeglichen und ein Cookie gesetzt. Bedenke aber, dass Du evtl. Schwierigkeiten mit der Gültigkeit der Session auf dem Server kriegen kannst. Wenn Du den Apache dann nicht selbst betreibst, musst Du bei Deinem Provider betteln gehen...

Grüße,

Mathias
Bitte warten ..
Mitglied: eeucalyptus
24.05.2010 um 20:24 Uhr
Das ist nicht das Problem, ich habe einen eigenen Server. Und wenn das mit der Sicherheit klar geht, dann mach ich dass so.

Vielen Dank für die Hilfe!

Eike
Bitte warten ..
Mitglied: Cubic83
24.05.2010 um 21:29 Uhr
Hallo,

wo liegt denn das Problem beim permanenten Abfragen? Die Datenverbindung wird ja vermutlich eh immer aufgebaut werden, und auf eine Query mehr kommst nicht an. Ich würde es nur mit permanenter Abfrage machen.

mfG
Bitte warten ..
Mitglied: Multitask
24.05.2010 um 21:50 Uhr
Wozu soll das gut sein? Das PW müsste in beiden Fällen auf dem Client gespeichert werden, schließlich soll der user doch sein PW nicht ständig eingeben müssen...
Bitte warten ..
Mitglied: Cubic83
24.05.2010 um 21:58 Uhr
Selbstverständlich muss man nicht bei jeder Seite das Password eingeben.

01.
 
02.
if ($_REQUEST['action'] == "LogIn") 
03.
04.
    $_SESSION['uname'] = $_REQUEST['username']; 
05.
    $_SESSION['pword'] = md5($_REQUEST['pword']; 
06.
07.
 
08.
$UserIsLogedIn = mysql_query("SELECT * FROM DB WHERE username='".$_SESSION['uname']."' and password='".$_SESSION['pword']."'); 
09.
 
Hier das Log In Formular:

01.
 
02.
<form action="./index.php?action=LogIn" method="post"> 
03.
<input type="text" name="username"> 
04.
<input type="password" name="pword"> 
05.
<input type="submit"> 
06.
</form> 
07.
 
Bitte warten ..
Mitglied: dog
25.05.2010 um 11:27 Uhr
Sollte man jedes mal, wenn eine Seite geladen wird die Anmeldedaten aus der Datenbank abfragen, oder ist es sicher genug, wenn man das in denn Session-Daten speichert?

PHP's eigener Session-Mechanismus ist "sicher".
Bevor man Anfängt selbst mit Cookies rumzufummeln sollte man sich in das Thema genau einlesen.

Ich wüsste auch nicht wie du bei jedem Aufruf der Seite die Anmeldedaten erneut abfragen willst, denn du löschst das Passwort wie jeder gute Programmierer natürlich sofort nach dem Login aus dem RAM, richtig?

Du könntest also höchstens jedes Mal die Meta-Daten abfragen und das ist einfach eine Design-Entscheidung.

Lediglich ein Cookie zur Identifizierung zu verwenden ist erheblich unsicherer

Richtig, aber Sessions ohne SSL sind heute Standardpraxis - diese Unsicherheit nimmt halt jeder für die alltäglichen Dinge in Kauf.
Wichtige Dinge wie Login, Kontodaten etc. kann man ja über SSL leiten.

Das PW steht mit MD5 behandelt in der DB

MD5 alleine darf nicht mehr verwendet werden, weil das erraten des Ausgangspasswort zu leicht ist. Korrekt wäre z.B.
md5(salt + username + password)

01.
if ($_REQUEST['action'] == "LogIn") 
02.
03.
    $_SESSION['uname'] = $_REQUEST['username']; 
04.
    $_SESSION['pword'] = md5($_REQUEST['pword']; 
05.
06.
 
07.
$UserIsLogedIn = mysql_query("SELECT * FROM DB WHERE username='".$_SESSION['uname']."' and password='".$_SESSION['pword']."');
Diser Code darf niemals und unter keinen Umständen verwendet werden.
Da stecken so viele Sicherheitslücken drin, dass es nur konsequent wäre den Autor mit dem Kopf zuerst einmal durch den Kies zu ziehen.
Bitte warten ..
Mitglied: Cubic83
25.05.2010 um 13:51 Uhr
Zitat von dog:
Diser Code darf niemals und unter keinen Umständen verwendet werden.
Da stecken so viele Sicherheitslücken drin, dass es nur konsequent wäre den Autor mit dem Kopf zuerst einmal durch den
Kies zu ziehen.


Wieso ist das unsicher? Ich schreibe meine Logins immer so. Ich sehe da nicht keine Lücke. Ich lerne aber gerne hinzu ;)
Bitte warten ..
Mitglied: Multitask
25.05.2010 um 14:07 Uhr
Du solltest zumindest die Benutzereingaben (Username, PW) überprüfen (SQL-Injection). Das kann übelst schiefgehen und Deine DB ist futsch. Fällt mir so als erstes ein. Ich würde aber auch noch die $_REQUEST['action'] validieren. Jedenfalls kannst Du die Benutzereingaben nicht einfach in die Session schreiben und sie im SQLStatement verwenden.
Bitte warten ..
Mitglied: Cubic83
25.05.2010 um 14:47 Uhr
Achso. Sollte ja nur Beispielhaft sein.

- mysql_real_escape_string() benutzen
- Und zusätzlich noch übeprüfen ob mehr als 20 Logins in den letzten 30 Minuten versucht worden
- md5(salt + username + password)

(wobei: was ist salt?)

Was fehlt denn da noch ums sicher zu machen.

Oder anders, wie überprüft ihr denn Logins?
Bitte warten ..
Mitglied: dog
25.05.2010 um 17:14 Uhr
Das Salt ist eine für deine Seite eindeutige Zufällige Buchstabenkombination.
Der Sinn ist folgender:

md5(password) => lässt sich mit einer Rainbow-Table für Passwörter erraten (einfach)
md5(user+password) => lässt sich nur für Benutzer+Passwort Rainbow-Tables erraten (wesentlich schwerer)
md5(salt + user + password) => für die Kombination wird es keine Rainbow-Tables geben, ein neu anlegen ist zu aufwendig (sehr sicher)

Das lässt aber außer acht, dass bei md5() bereits mehrere Kollisionen entdeckt wurden.

Abgesehen davon hat ein Passwort nie etwas in der Session zu suchen.
Nach dem Login muss es verworfen werden und fertig!

Und $_REQUEST sollte man nie benutzen.
Logins kommen per POST also wird doch auch nur $_POST akzeptiert.
$_REQUEST würde auch GET annehmen, womit man viele lustige Dinge machen kann...
Bitte warten ..
Ähnliche Inhalte
Windows Server
RFID SmartCard Anmeldung ohne PIN (7)

Frage von podogu zum Thema Windows Server ...

Windows Userverwaltung
Gleiches Benutzerprofil für Anmeldung an TS und am lokalen System?? (6)

Frage von eastfrisian zum Thema Windows Userverwaltung ...

Windows 7
gelöst Windows Client Anmeldung bei zwei identischen Domänen (11)

Frage von creeko zum Thema Windows 7 ...

Microsoft Office
gelöst Office365 - Anmeldung geht nicht (1)

Frage von maichinger zum Thema Microsoft Office ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (29)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (15)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

RedHat, CentOS, Fedora
Fedora, RedHat, Centos: DNS-Search Domain setzen (13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Backup
Backup Wochen- Monats- Jahressicherung (13)

Frage von Meterpeter zum Thema Backup ...