sicheres login system

[ben]

hey
also ich wollte mal wissen wie man ein Login system am sichersten macht.

Bisher habe ich immer datenbanken und cookies oder sessions verwendet.
In den datenbanken habe ich dann benutzernamen und passwort gespeichert und dann wenn das einloggen erfolgreich war den namen in den cookie oder die session gespeichert.

Wie geht das noch sicherer? Mit Javascript Injections kann man die cookies einfach andern oder erstellen.

Vielen Dank im Voraus

Ben

 

[threadi]

Speichere zu jedem Account auch eine eindeutige Kennung die aus irgendeinem Buchstaben-Zahlensalat besteht. Z.B. "abdo923nsdg9124mnsgvjksf923". Kann man ja automatisch erzeugen lassen und in einer extra Spalte ("securecode") in der Datenbanktabelle sichern. Wenn Du das Cookie/die Session setzt, speichere diesen Securecode zusammen mit der eindeutigen ID des Benutzers im Cookie/in der Session. Dadurch könnte jemand der das Cookie ausliest nur Zahlensalat sehen und er bräuchte auch beide Faktoren (securecode und ID) um Zugriff erlangen zu können.

 

[ben]

ok danke
noch ein paar fragen:
wie erstellt man den buchstaben-zahlensalat am besten? ich hatte an arrays und zufallige nummern gedacht und die dann einfach abspeichern

jedesmal wenn die seite lad habe ich bisher nur geguckt ob der richtige cookie da ist weil das am schnellsten laed aber wenn ich noch einen secure code hinzufuege musste ich ja dann auch noch jedesmal checken ob die ID und der code zusammen passen. macht das das navigieren auf der seite nicht langsamer? (es macht mir eigendlich nichts aus aber ich versuche grad das beste zu lernen. ich schreibe nur webseiten fur die schule und als hobby)

also ich hab immer cookies erstellt und ich habe ein forum und da habe ich dann $_COOKIE['benutzer']; einfach in die forums tabelle in der datenbank gespeichert aber wenn ich dann noch einen securecode habe musste ich den dann vor dem speichern auch noch mit der benutzer datenbank vergleichen. macht man das genau so? ... einige hier schreiben doch sicherlich professionelle webseiten

 

[Gimli]

md5(rand(1,999)."salt".rand(1,999).microtime())

 

[Engel]

Cookies werden auf dem Client gespeichert, das ist durchaus riskanter als eine serverseitige Session zu benutzen. Bei der Nutzung von Zahlensalat sollte darauf geachtet werden, dass diese Art "Session ID" nicht geklaut werden kann.

 

[sysop]

Cookies werden auf dem Client gespeichert, das ist durchaus riskanter als eine serverseitige Session zu benutzen. Bei der Nutzung von Zahlensalat sollte darauf geachtet werden, dass diese Art "Session ID" nicht geklaut werden kann.

Die Frage ist doch immer, was man mit den Cookie infos machen kann. Zahlensalat in Cookies abzulegen und dann zu klauen und dann eine SQL-Abfrage auf den Zahelensalat abzusetzen kann genauso einfach sein, wie das md5 Passwort aus einem Cookie zu fladern.

Cookies haben nach meiner Auffassung nur den Sinn ein Autologin zu realisieren. Verzichtet man auf ein Autologin, können Cookies für Loginsysteme komplett entfallen.