Autologin - wie hier im Forum: wie ist das Prinzip?

[kaepten]

Freunde

Wir haben ein eigenes Berechtigungssystem aufgebaut mit eigenem Login und allem. Nun möchten wir auch die Möglichkeit für ein "Auto-Login" anbieten.

Allerdings haben wir keine Ahnung wie sowas funktoniert? Wie ist das Prinzip mit Cookies?

Einfach die BenutzerId und das Passwort in das Cookie zu speichern wäre wohl unsicher. Überall gibt’s diese Funktion auch in allen Foren. Aber wie das Prinzipiell geht im Hintergrund, habe ich mir noch nie überlegt.

Vielen Dank für Tipps und Anregungen
Patrik

 

[mh1001]

Hallo,

die häufigste und auch einfachste Methode ist es, den Login-Namen und das Passwort (am besten in Form dessen MD5-Summe oder ähnlichem) in einem Cookie zu hinterlegen.
Natürlich bietet dies ein gewisses Sicherheitsrisiko, doch ist dies immer so, wenn entsprechende Daten auf dem Rechner des Clienten hinterlegt sind - egal in welcher Form dies nun ist.
Zum Ablegen des Benutzernamens und des Passworts in einem Cookie solltest du dir einmal diese beiden Funktionen anschauen: serialize() und base64_encode()

MfG mh1001

 

[V1tzl1]

Für mehr Sicherheit könntest du auch eine zufällig generierte Nummer als "ersatzpasswort" benutzen, so dass du diese Nummer in einem Cookie Speicherst und den Usernamen.
Wenn beim betreten der Seite ein Cookie mit dem usernamen existiert und der Cookie mit dem "Passwort" schaut das Script in die Userdb in dem neben dem "normalen" Passwort auch der Zahlencode gespeichert ist. Dann wird zur Sicherheit noch ein neuer Zahlencode erzeugt und in DB und Cookie gespeichert. Sollte eigentlich sicher genug sein. Ist halt in so fern sicherer, da die user wohl kaum bei jedem Login ihr Passwort ändern...

 

[mh1001]

@V1tzl1

Das ist sicherlich auch kein schlechter Ansatz, allerdings hat dieser in der Praxis trotzdem seine Mängel.
Wenn zum Beispiel ein Benutzer verschiedene PC/Betriebssysteme und/oder Browser verwendet ist dieser, sobald er sich mit einem PC/OS/Browser angemeldet hat, auf den anderen wieder abgemeldet. Und solche Leute soll es ja auch geben - mich eingeschlossen.

Zudem ändert dies an der eigentlichen Sicherheitslücke nichts:
Wenn ein Fremder an den Cookie-Inhalt kommt, kann sich dieser auch mit Hilfe dessen anmelden.

MfG mh1001

 

[V1tzl1]

@mh1001 Das mit den verschiedenen Browsern ist definitiv ein mänkel, an das ich nicht gedacht habe, da geb ich dir voll und ganz recht (benutze ja schließlich auch unterschiedliche)
Das mit der Sicherheitslücke ist aus meiner sicht in so fern besser geworden, als dass wenn man sich zwar einloggen könnte, sich das pw aber automatisch mit dem nächsten manuell login wieder ändert, man somit nur zeitlich begrenzten zugang hätte. Ist aber wie gesagt alles nur ein Ansatz und müsste besser ausgefeilt werden, besonders das mit den anderen Browsern. Und ich denke mal, in den meisten Boards sollte ein normaler Schutz wie oben beschrieben auch ausreichen

 

[kaepten]

Hallo,

die häufigste und auch einfachste Methode ist es, den Login-Namen und das Passwort (am besten in Form dessen MD5-Summe oder ähnlichem) in einem Cookie zu hinterlegen.

Ich werde das mal so umsetzen.

@all
Vielen Dank für die Antworten!