PHP Auto Login

S

Schangu

Aktives Mitglied
Huhu,
mich würde interessieren ob ihr irgendwelche Tipps hat was man anders machen könnte (zum Beispiel um einen das System sicherer zu machen):

Es geht um ein Auto-Login Script welches einen auf einer Homepage automatisch anmeldet. Besonderes Augenmerk soll das Thema Sicherheit gelenkt werden.

Meine bisherige Überlegung sieht so aus:

BenutzerID und MD5 Passwort werden in einem Cookie gespeichert und bei Bedarf aufgerufen.


Gibts da vll. noch irgend einen Trick/Kniff denn man beachten sollte?

MfG
 
Cookie kann via XSS Ausgelesen werden.

Das Cookie sollte an die IP gebunden werden, dann ist aber der Sinn vom Autologin futsch. Zumindest an den Provider binden, dann hast Du wieder ein riesiges Loch.

Mach nur ein Autologin wenn es wirklich sein muss!

Mach eine Kombination mit ETag. http://www.ayom.com/topic-20245.html

Und ganz wichtig, bei einem erkannten Fake Muster sofort Autologin killen.

P.S. arbeite nicht mit einer UserID arbeite mit einem absolut anonymen User Key.
 
Das mit dem ETag klingt sehr interessant, habe allerdings noch technisch nicht ganz verstanden wie man das ganze umsetzt ;]

Jemand vll. ein Code-Snippet übrig? ;] Oder ne etwas bessere Erklärung als im Wiki, insb. aus technischer Sicht was die Umsetzung in PHP angeht.

Das Script was du unter dem anderen Topic gepostet hast sieht gut aus :] Davon der Code wäre was ;[]
 
QUOTE (Christoph Gerken @ Mo 24.09.2007, 22:02) Das Script was du unter dem anderen Topic gepostet hast sieht gut aus :] Davon der Code wäre was ;[]

Was ich für ein Bier nicht alles mache ;-)

Hast eine Mail...

Ach ja, geb mir bitte mal die URL, ich möchte Dir gerne zeigen, warum Du kein Autologin einsetzen solltest...
 
So, nun war es auch bei mir soweit. Ich musste ein Autologin machen, obwohl ich die Dinger hasse.

Also hab ich mir überlegt, wie man das einigermassen sicher hinkriegt.

1. Das Cookie hat einen 30 stelligen Key.
Das ist noch unspektakulär. Bzw. das mindeste.

2. Das Cookie ist ein sogenanntes httpOnly Cookie.
httpOnly soll verhindern, dass via JavaScript ein Cookie ausgelesen werden kann. Das Auslesen ist nur noch Serverseitig bzw. im Header möglich.
Das Problem ist, dass es noch nicht alle Browser unterstützen oder es nicht sicher implementier ist.
http://www.heise.de/newsticker/meldung/93178

PHP Snippet:
CODE setcookie("name", "value", time()+2592000, NULL, NULL, NULL, TRUE);

Das "TRUE" setzt das Cookie als httpOnly.

3. Eine Intrusion detection
Sobald iregndwo ein XSS-Loch ist auf der Seite, ist eine Manipulation möglich. Desshalb hab ich ein Intrusion Detection Script (Anti XSS, SQLi, etc) eingebaut. Wichtig ist, dass es Überall! includet wird. Bei einer Attacke wird die verarbeitung umgehend abgebrochen...
http://php-ids.org/

Funktionsweise:
http://www.kirly.com/l-gratis-sms.htm?vari...673408855113789
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben