[Tutorial] Login Systeme von Einfach bis Profi

[Peter]

Super Tutorial!
Nachdem im Profi-Teil auf Cookies verzichtet wird, kann man sagen, dass Cookies unsicher sind?
Hätte man 1x den Cookiewert von der "Fortgeschrittenen"-Variante heraußen würde man sich immer mit einem selbst erstellen Cookie ohne je User oder Passwort gesehen zu haben einloggen können, richtig?
Den Wert kann man aber nicht schützen. Ein Verändern des Wertes verhindert dann den cookielogin, daher unsicher, richtig?

Wenn ich beim FF einstelle, keine Cookies annehmen, funktionieren bei mir auch keine Sessions. Stimmt es, dass das dann mit dem php.ini Wert
session.use_trans_sid zusammenhängt, da dieser (so wie im Tutorial) das Schreiben der SessionId in die Adressleiste verhindert?

[phpBuddy]

Hallo Peter!

Super Tutorial!

Danke

Nachdem im Profi-Teil auf Cookies verzichtet wird, kann man sagen, dass Cookies unsicher sind?

Es wurde deswegen auf Cookies verzichtet, weil die Profi-Variante zum Schutz von wirklich sensiblen Daten gedacht ist. Würde man ein Auto-Login per Cookie benutzen, könnte jeder Benutzer, der nach dem eigentliche Berechtigten am Rechner sitzt (z.B. im Büro, im Inet-Cafe, Familien PC, usw.), einfach auf die geschützen Daten zugreifen. Durch das Erzwingen des manuellen Login bei jedem Besuch, wird dieser "stehlen" des Zugangs verhindert.

Wenn ich beim FF einstelle, keine Cookies annehmen, funktionieren bei mir auch keine Sessions. Stimmt es, dass das dann mit dem php.ini Wert
session.use_trans_sid zusammenhängt, da dieser (so wie im Tutorial) das Schreiben der SessionId in die Adressleiste verhindert?

Session-Cookies sollte man immer akzeptieren, da es eben sonst zu Einschränkungen auf Seiten kommen kann, die diese voraussetzen. Schaltet man Cookies komplett ab, hat man eben Pech gehabt.
Das Transportieren der Session-Kennung per URL ist bei sensiblen Loginbereichen ebenso schlecht wie Cookies, da man so u.U. Unbefugten Zutritt verschafft. Dafür reicht es oft schon aus, mit so einer Session ID in der URL eine andere Seite zu besuchen. In dem Moment steht die SID im Referrer und landet somit direkt im Logfile des Zielservers. Schnappt sich jetzt jemand den Referrer aus dem Log und besucht die geschützte Seite, erhält er u.U. direkten Zutritt. Aus diesem Grund wird im Tutorial ja auch noch mehr über den Besucher abgefragt, als nur die SID und der Transport der Kennung per URL wurde per ini abgeschaltet.

Ich hoffe das hat all deine Fragen beantwortet.

[Peter]

Hallo Peter!

Ich hoffe das hat all deine Fragen beantwortet.

Du schreibst, SessionCookie sollte man immer annehmen, im Firefox kann man die Cookies gar nicht so fein einstellen. Entweder alles oder nichts. Oder hab ich da was übersehen?

[phpBuddy]

Du schreibst, SessionCookie sollte man immer annehmen, im Firefox kann man die Cookies gar nicht so fein einstellen. Entweder alles oder nichts. Oder hab ich da was übersehen?

Ich benutze die englische Version, daher die Bezeichnungen auf englisch. Unter Tools, Options, Privacy kann man generell einstellen ob man Cookies annimmt. Dabei kann man wählen zwischen der eigentlich aufgerufenen Seite (das sollte an sein), 3rd Party erlauben/blockieren (das sind Cookies von Fremdseiten, z.B. Werbepartner die in unsichtbaren IFrames geladen werden - sollte blockiert werden) und unter Exceptions (Ausnahmen), kann man dann nochmal sehr detailliert pro Domain einstellen, ob man alle Cookies blockieren möchte, erlauben möchte oder nur Session Cookies annehmen möchte.

Dennoch, bei sensiblen Daten, die Serverseitig bestmöglich geschützt sein sollen, gibt es kein hätte, wäre, wenn. Da gibt es ein ganz klares entweder oder. Entweder der User benutzt die Seite zu den Bedingungen der Seite (Session Cookies erlauben) oder er benutzt sie gar nicht. Mittelwege oder Workarounds, nur es dem Benutzer so bequem wie möglich zu machen, führen fast zwangsläufig zu Sicherheitslöcher und Schwachstellen. Am Ende ist dann natürlich der User uneinsichtig und schiebt die Schuld dem Sitebetreiber zu.

[Peter]

Ah, da haben die das Session Cookie mit "Für diese Sitzung erlauben" übersetzt. Das hab ich übersehen.
Danke für deine Erklärungen. Viel sicherer als mit deinem Login kann es mit Hausmitteln, dann eh wohl kaum mehr gehen.

[Kesandal]

Guten Abend,
bin durch Zufall auf dieses Forum und das Skript gestoßen und musste mich gleich registrieren :-)

Ich habe die Variante Profi II durchgearbeitet und es klappt auch alles soweit.
Jedoch wollte ich fragen in wiefern es Sinn macht das ganze Loginsystem OOP-basiert zu machen?

Viele Grüße
kesandal

[InnerlichBoese]

Hallo hallo =)

Ich kann mich nur anschließen - Absolut toll =)

Allerdings finde ich eins einfach nicht raus!
Ich würde gerne dem Benutzer seine Daten aus der Datenbank anzeigen (ip, benutzerinfo, anmeldung, zuletzt_aktiv und fehlversuche)

Aber in der geheim_profi.php ist nur die variable $benutzername umsetzbar, z.B. $ip geht nicht

Was muss ich denn da in der funktionen.inc.php ändern/hinzufügen, dass ich die Werte in der geheim_profi.php sichtbar gemacht bekomme?

Lieben Gruß,
Franc

Edit:
Und wieee kann ich neue Benutzer hinzufügen? Nur direkt per Datenbank?
Habe das nun getan, und die Felder "benutzername, passwort, passwort_zusatz, fehlversuche und aktiviert" ausgefüllt.

Bei passwort_zusatz habe ich lediglich eine wirre, 10-stellige kombi eingegeben (zahlen & kleine Buchstaben)

Aber Login geht nicht

Danke!

[InnerlichBoese]

Hallo hallo?

Kann mir hier niemand helfen? =(
Es wäre wirklich wichtig!!

Liebe Grüße

Franc

[Peter]

Das

Dieser Passwort-Zusatz wird auch Salt (eng. Salz) genannt und dient dazu Passwörter sicherer zu machen. Dieses Salt muß für jeden Benutzer einmalig zufällig erstellt werden (beim anlegen des Benutzer) und wird in der Datenbank abgelegt. Wurde von der DB ein Treffer zurückgeliefert wissen wir, das der Benutzername in unserem System existiert. Aus der Kombination eingegebenes Passwort + Salt aus der DB erzeugen wir einen md5-Hash, der unser tatsächliches Anmeldepasswort darstellt.

und Ottos Passwort aus der login_profi.sql sollten dich zum Ziel führen.

Hint: Passwörter werden in der Profi-Version nie im Klartext gespeichert.

[InnerlichBoese]

Hm, vielen dank.

Nunja, mit viel hin und her habe ich das mit den Salted Hashes nun herausbekommen

Aber - meine Hauptfrage, wie ich diverse Variablen wie z.B. $ip auf der geheim_profi.php aktivieren kann, wurde dezent überflogen *g*

Wo muss ich denn was in der funktionen.inc.php eingeben, um mir auch andere sachen bis auf $benutzername in der geheim_profi.php anzeigen zu lassen?

Lieben Gruß,
Franc

[Kesandal]

Hab das Problem gelöst.

[fulltilt]

Hm, vielen dank.
Nunja, mit viel hin und her habe ich das mit den Salted Hashes nun herausbekommen

hm - habe hier auch meine Probleme mit einem register Script. ich bekomme zwar den hash und das Passwort in die DB, aber der Login klappt nicht ...
Hier mal der Teil mit dem insert:

PHP-Code:

function getPasswordSalt()
{
    return substr( str_pad( dechex( mt_rand() ), 8, '0',
                                           STR_PAD_LEFT ), -8 );
}
function getPasswordHash( $salt, $password )
{
    return $salt . ( hash( 'whirlpool', $salt . $password ) );
}
function comparePassword( $password, $hash )
{
    $salt = substr( $hash, 0, 8 );
    return $hash == getPasswordHash( $password, $salt );
}

$hash = getPasswordHash( getPasswordSalt(), $password );
$encrypted = md5(md5.$password.$hash);

    $qry = "INSERT INTO members(benutzername, passwort, passwort_zusatz, aktiviert ) VALUES('$login', '$encrypted', '$hash', 1)";

    $result = @mysql_query($qry); 


[InnerlichBoese]

Hallo nochmals

Ich wollte nur nochmals nachhorchen, ob mir jemand mit dem Problem "Variable in geheim_profi.php" helfen kann?!

Ich kann in der geheim_profi.php lediglich die variable $benutzername ausführen.

Wo muss ich denn was ändern/hinzufügen, um mir auch z.B. die ip via $ip auf der geheim_profi.php auslesen zu lassen?!

Es wäre mir wirklich wichtig!

Lieben Gruß,

IB

[phpBuddy]

Die aktuelle IP eines Besuchers befindet sich in der Superglobalen $_SERVER['REMOTE_ADDR'].
Ansonsten Hilfe zur Selbsthilfe oder sich helfen lassen.

[feldmarv]

Hab mal Variante_einfach versucht!
aber bekomme immer diesen Fehler.

"Not Found

The requested URL //Kunden_Login_files/< was not found on this server."

Egal welchen Login Namen und welches Password ich eintippe immer dieser Fehler

Was mach ich falsch? Dieser Ordner befindet sich schön auf dem Server.

Vielen Dank für eure Hilfe
Gruss feldmarv