[GastForen Programmierung/Entwicklung PHP und MySQL Diskussion: Sicherheit von Passwortabfragen

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Diskussion: Sicherheit von Passwortabfragen

flobaer
Beiträge gesamt: 317

4. Mai 2007, 09:33
Beitrag # 1 von 5
Bewertung:
(4139 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo zusammen,

ich habe bei verschiedenen Projekten unterschiedliche Zugangskontrollen im Einsatz. Auf der einen Seite einen Schutz der Seiten durch Anmeldung über PHP (die Benutzerinformationen sind in einer Datenbank hinterlegt). Bei erfolgreicher Anmeldung wird eine Session angelegt, in der die wichtigsten Benutzerinfos (einzelne Rechte, E-Mail-Adresse etc.) sowie der Status "logged_in" gespeichert wird. Dieser Status wird auf jeder Seite abgefragt und bei fehlen dieses Wertes wird auf die Login-Seite weitergeleitet.
Ein anderes System habe ich auf einer Seite im Einsatz, wo ich nur den Benutzernamen brauche und alle Benutzer die selben Rechte haben. Dort habe ich den Bereich mit .htaccess geschützt.

Ich frage mich nun, was die sicherere Lösung ist und ob eine Kombination sicher wäre. Ich könnte doch den Bereich mit .htaccess schützen, dann den Benutzernamen des erfolgreich angemeldeten Benutzers auslesen und seine Benutzerrechte und -informationen bei Bedarf aus einer Datenbank auslesen.

Ist das irgendwie sicherer, unsicherer, sinvolll oder sinnlos?

Ich hoffe ihr konntet mir folgen und freue mich auf eure Meinungen.

Viele Grüße
Florian
X

Diskussion: Sicherheit von Passwortabfragen

SabineP
Beiträge gesamt: 7586

4. Mai 2007, 13:01
Beitrag # 2 von 5
Beitrag ID: #289793
Bewertung:
(4100 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo Florian,

wenn Du wirklich Sicherheit möchtest, dann verwende die Zugangskontrolle per .htaccess in Verbindung mit einem SSL-Zertifikat.

In Verbindung mit dem Apache-Modul mod_auth_mysql können die Zugangsdaten
auch in der MYSQL-Datenbank stehen anstatt in der .htpasswd

Gruß Sabine


als Antwort auf: [#289752]

Diskussion: Sicherheit von Passwortabfragen

flobaer
Beiträge gesamt: 317

4. Mai 2007, 13:19
Beitrag # 3 von 5
Beitrag ID: #289795
Bewertung:
(4096 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo Sabine,

wenn ich das richtig verstehe, gibt es dort eine vorgegebene MySQL Datenbank, in der alle User für den gesamten Server drin stehen. Außerdem habe ich keine Möglichkeit weitere Informationen mit zu speichern, oder?
Letztendlich muss man dann auch in der Lage sein, das Modul zu installieren, sofern es nicht vorhanden ist, was bei den meisten Providern aber nicht geht.

Wenn ich dich weiterhin richtig verstehe, ist eine Absicherung mit .htaccess sicherer als eine über ein PHP Formular?

Wie sicher schätzt du denn von mir beschriebenen Weg ein den über .htaccess eingeloggten Benutzer abzufragen und anhand des Benutzernamens die weiteren Infos aus eine Datenbank zu holen?

Viele Grüße
Florian


als Antwort auf: [#289793]

Diskussion: Sicherheit von Passwortabfragen

ganesh
Beiträge gesamt: 1981

4. Mai 2007, 15:20
Beitrag # 4 von 5
Beitrag ID: #289830
Bewertung:
(4078 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Wenn du grösstmögliche Sicherheit willst, kommst du um ein SSL-Zertifikat kaum herum.

Ich hoffe doch sehr, dass du nicht das Passwort als plain text in der Datenbank ablegst, oder? Immer nur einen "hash" String speichern (SHA1 oder ähnliches), dann ists irreversibel.


als Antwort auf: [#289795]

Diskussion: Sicherheit von Passwortabfragen

SabineP
Beiträge gesamt: 7586

4. Mai 2007, 15:43
Beitrag # 5 von 5
Beitrag ID: #289838
Bewertung:
(4072 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
>> wenn ich das richtig verstehe, gibt es dort eine vorgegebene MySQL Datenbank,
>> in der alle User für den gesamten Server drin stehen.
>> Außerdem habe ich keine Möglichkeit weitere Informationen mit zu speichern, oder?

Du kannst alles frei definieren, es ist da nichts festgelegt.
Und Du kannst in der Tabelle mit den Benutzernamen und Paßwörtern
auch noch weitere Informationen speichern.


>> Letztendlich muss man dann auch in der Lage sein, das Modul zu installieren.

Am besten den Provider fragen, ohne root-Zugang läßt sich das Modul leider nicht installieren.
Besonders bei sehr vielen Benutzern ist es sehr angenehm für die Performance.


>> Wie sicher schätzt du denn von mir beschriebenen Weg ein den über .htaccess
>> eingeloggten Benutzer abzufragen und anhand des Benutzernamens
>> die weiteren Infos aus eine Datenbank zu holen?

Vom Browser zum Webserver wird der Benutzername und das Paßwort nur base64 codiert.
Innerhalb dieser Übertragung besteht die größte Unsicherheit, deshalb sollte man hier ein SSL-Zertifikat verwenden.
Gruß Sabine


als Antwort auf: [#289795]
(Dieser Beitrag wurde von SabineP am 4. Mai 2007, 15:44 geändert)
X

Veranstaltungskalender

Hier können Sie Ihre Anlässe eintragen, welche einen Zusammenhang mit den Angeboten von HilfDirSelbst.ch wie z.B. Adobe InDesign, Photoshop, Illustrator, PDF, Pitstop, Affinity, Marketing, SEO, Büro- und Rechtsthemen etc. haben. Die Einträge werden moderiert freigeschaltet. Dies wird werktags üblicherweise innert 24 Stunden erfolgen.
pdf-icon Hier eine kleine Anleitung.

Veranstaltungen
20.09.2019

Nürnberg
Freitag, 20. Sept. 2019, 09.30 Uhr

Schulung, Seminar

Mit WordPress ist es möglich, ohne große Kosten und ohne Programmierkenntnisse eine ansprechende Webseite zu erstellen, die allen Anforderungen des modernen Webdesigns – besonders unter Beachtung der Suchmaschinenoptimierung (SEO) – gerecht wird. Unsere Schulung Webdesign mit WordPress zeigt Ihnen, wie Sie hochwertige Webseiten mit WordPress erstellen.

Ja

Organisator: Cleverprinting.de

https://www.cleverprinting.de/schulungen/schulung-webdesign-mit-wordpress/

Suchmaschinen-optimiertes Webdesign mit WordPress
Veranstaltungen
23.09.2019

Nürnberg
Montag, 23. Sept. 2019, 09.30 Uhr

Schulung, Seminar

Unsere Schulung Colormanagement bzw. Farbmanagement für Grafik, Foto und PrePress erklärt dem Anwender die praxisgerechte Anwendung von ICC-Colormanagement. Sie lernen, Colormanagement sicher in der täglichen Praxis einzusetzen. Angefangen bei der Monitorkalibration über die PSD-Grundeinstellungen bis hin zum medienneutralen CMM in InDesign.

Ja

Organisator: Cleverprinting.de

https://www.cleverprinting.de/schulungen/colormanagement-farbmanagement-schulung/

Colormanagement für Grafik, Foto und PrePress