[GastForen Programmierung/Entwicklung PHP und MySQL Diskussion: Sicherheit von Passwortabfragen

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Diskussion: Sicherheit von Passwortabfragen

flobaer
Beiträge gesamt: 317

4. Mai 2007, 09:33
Beitrag # 1 von 5
Bewertung:
(4239 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo zusammen,

ich habe bei verschiedenen Projekten unterschiedliche Zugangskontrollen im Einsatz. Auf der einen Seite einen Schutz der Seiten durch Anmeldung über PHP (die Benutzerinformationen sind in einer Datenbank hinterlegt). Bei erfolgreicher Anmeldung wird eine Session angelegt, in der die wichtigsten Benutzerinfos (einzelne Rechte, E-Mail-Adresse etc.) sowie der Status "logged_in" gespeichert wird. Dieser Status wird auf jeder Seite abgefragt und bei fehlen dieses Wertes wird auf die Login-Seite weitergeleitet.
Ein anderes System habe ich auf einer Seite im Einsatz, wo ich nur den Benutzernamen brauche und alle Benutzer die selben Rechte haben. Dort habe ich den Bereich mit .htaccess geschützt.

Ich frage mich nun, was die sicherere Lösung ist und ob eine Kombination sicher wäre. Ich könnte doch den Bereich mit .htaccess schützen, dann den Benutzernamen des erfolgreich angemeldeten Benutzers auslesen und seine Benutzerrechte und -informationen bei Bedarf aus einer Datenbank auslesen.

Ist das irgendwie sicherer, unsicherer, sinvolll oder sinnlos?

Ich hoffe ihr konntet mir folgen und freue mich auf eure Meinungen.

Viele Grüße
Florian
X

Diskussion: Sicherheit von Passwortabfragen

SabineP
Beiträge gesamt: 7586

4. Mai 2007, 13:01
Beitrag # 2 von 5
Beitrag ID: #289793
Bewertung:
(4200 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo Florian,

wenn Du wirklich Sicherheit möchtest, dann verwende die Zugangskontrolle per .htaccess in Verbindung mit einem SSL-Zertifikat.

In Verbindung mit dem Apache-Modul mod_auth_mysql können die Zugangsdaten
auch in der MYSQL-Datenbank stehen anstatt in der .htpasswd

Gruß Sabine


als Antwort auf: [#289752]

Diskussion: Sicherheit von Passwortabfragen

flobaer
Beiträge gesamt: 317

4. Mai 2007, 13:19
Beitrag # 3 von 5
Beitrag ID: #289795
Bewertung:
(4196 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo Sabine,

wenn ich das richtig verstehe, gibt es dort eine vorgegebene MySQL Datenbank, in der alle User für den gesamten Server drin stehen. Außerdem habe ich keine Möglichkeit weitere Informationen mit zu speichern, oder?
Letztendlich muss man dann auch in der Lage sein, das Modul zu installieren, sofern es nicht vorhanden ist, was bei den meisten Providern aber nicht geht.

Wenn ich dich weiterhin richtig verstehe, ist eine Absicherung mit .htaccess sicherer als eine über ein PHP Formular?

Wie sicher schätzt du denn von mir beschriebenen Weg ein den über .htaccess eingeloggten Benutzer abzufragen und anhand des Benutzernamens die weiteren Infos aus eine Datenbank zu holen?

Viele Grüße
Florian


als Antwort auf: [#289793]

Diskussion: Sicherheit von Passwortabfragen

ganesh
Beiträge gesamt: 1981

4. Mai 2007, 15:20
Beitrag # 4 von 5
Beitrag ID: #289830
Bewertung:
(4178 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Wenn du grösstmögliche Sicherheit willst, kommst du um ein SSL-Zertifikat kaum herum.

Ich hoffe doch sehr, dass du nicht das Passwort als plain text in der Datenbank ablegst, oder? Immer nur einen "hash" String speichern (SHA1 oder ähnliches), dann ists irreversibel.


als Antwort auf: [#289795]

Diskussion: Sicherheit von Passwortabfragen

SabineP
Beiträge gesamt: 7586

4. Mai 2007, 15:43
Beitrag # 5 von 5
Beitrag ID: #289838
Bewertung:
(4172 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
>> wenn ich das richtig verstehe, gibt es dort eine vorgegebene MySQL Datenbank,
>> in der alle User für den gesamten Server drin stehen.
>> Außerdem habe ich keine Möglichkeit weitere Informationen mit zu speichern, oder?

Du kannst alles frei definieren, es ist da nichts festgelegt.
Und Du kannst in der Tabelle mit den Benutzernamen und Paßwörtern
auch noch weitere Informationen speichern.


>> Letztendlich muss man dann auch in der Lage sein, das Modul zu installieren.

Am besten den Provider fragen, ohne root-Zugang läßt sich das Modul leider nicht installieren.
Besonders bei sehr vielen Benutzern ist es sehr angenehm für die Performance.


>> Wie sicher schätzt du denn von mir beschriebenen Weg ein den über .htaccess
>> eingeloggten Benutzer abzufragen und anhand des Benutzernamens
>> die weiteren Infos aus eine Datenbank zu holen?

Vom Browser zum Webserver wird der Benutzername und das Paßwort nur base64 codiert.
Innerhalb dieser Übertragung besteht die größte Unsicherheit, deshalb sollte man hier ein SSL-Zertifikat verwenden.
Gruß Sabine


als Antwort auf: [#289795]
(Dieser Beitrag wurde von SabineP am 4. Mai 2007, 15:44 geändert)
Hier Klicken X

Aktuell

Affinity
glyphen-browser_300

Veranstaltungskalender

Hier können Sie Ihre Anlässe eintragen, welche einen Zusammenhang mit den Angeboten von HilfDirSelbst.ch wie z.B. Adobe InDesign, Photoshop, Illustrator, PDF, Pitstop, Affinity, Marketing, SEO, Büro- und Rechtsthemen etc. haben. Die Einträge werden moderiert freigeschaltet. Dies wird werktags üblicherweise innert 24 Stunden erfolgen.

pdf-icon Hier eine kleine Anleitung hinsichtlich Bedeutung der auszufüllenden Formularfelder.

Veranstaltungen
07.02.2020 - 11.09.2020

Digicomp Academy AG, 8005 Zürich
Freitag, 07. Feb. 2020, 13.00 Uhr - Freitag, 11. Sept. 2020, 12.00 Uhr

Lehrgang

Bilden Sie sich zum zertifizierten Publishing-Multimedia-Profi aus. Neben Fotografie und Video befassen Sie sich mit der Medienproduktion, digitalen Publikationen und dem Webdesign für Desktop- und mobile Endgeräte. Mit dem Abschluss «Publisher Professional – Profil «Multimedia» verliehen durch die Digicomp Academy AG, bestätigen Sie Ihre Praxiserfahrungen und Qualifizierung in den genannten Themengebieten gegenüber Ihrem Arbeitgeber sowie Ihren Kunden.

Preis: CHF 10'500.-
Dauer: 30 Tage (ca. 210 Lektionen) – Unterricht findet jeweils am Freitag von 13 - 19 Uhr und Samstag von 09 - 17 Uhr statt

Nein

Organisator: Digicomp Academy AG

Kontaktinformation: Isil Günalp, E-Mailisil.guenalp AT digicomp DOT ch

https://www.digicomp.ch/weiterbildung/software-anwendungs-trainings/adobe-trainings/publishing-lehrgaenge/lehrgang-publisher-professional-profil-multimedia

Veranstaltungen
22.02.2020 - 04.07.2020

Lehrgang zielgerichtet auf die Zertifizierung zum Publisher Basic

Schulungsraum PubliCollege, Kronenhalde 9d, 3400 Burgdorf
Samstag, 22. Feb. 2020, 13.14 Uhr - Samstag, 04. Juli 2020, 13.15 Uhr

Projektseminar/Lehrgang

Ziele In der Medienproduktion unter Einbezug der aktuellen Publishing-Programme mitarbeiten. Voraussetzungen Sie möchten gestalterisch tätig sein und eigene grafische Ideen kompetent entwickeln sowie umsetzen; Medienproduktionen professionell planen und ausführen. Kompetenzen Nach Abschluss dieses Lehrgangs können Sie Printpublikationen aller Art von der Gestaltung über die Umsetzung bis zu druckfertige PDFs erstellen. Sie sind fähig, CI/CD-Vorgaben umzusetzen. Sie lernen die Grundlagen der grafischen Gestaltung kennen und setzen diese mit Adobe Photoshop, InDesign und Illustrator effizient um.

15 Halbtage, jeweils am Samstag von 08.30 bis 14 Uhr im Kursraum des PubliCollege, 3400 Burgdorf


Daten
Samstag, 22.2., 29.2., 14.3., 21.3., 28.3., 4.4., 25.4., 2.5., 9.5., 16.5., 6.6., 13.6., 20.6., 27.6., 4.7. 2020
Reservedatum am 23.5. 2020

Ja

Organisator: PubliCollege GmbH, 3400 Burgdorf

Kontaktinformation: Beat Kipfer, E-Mailinfo AT publicollege DOT ch

https://www.publicollege.ch/kursangebote/20-publisher-basic