[GastForen Programmierung/Entwicklung PHP und MySQL Diskussion: Sicherheit von Passwortabfragen

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Diskussion: Sicherheit von Passwortabfragen

flobaer
Beiträge gesamt: 317

4. Mai 2007, 09:33
Beitrag # 1 von 5
Bewertung:
(4206 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo zusammen,

ich habe bei verschiedenen Projekten unterschiedliche Zugangskontrollen im Einsatz. Auf der einen Seite einen Schutz der Seiten durch Anmeldung über PHP (die Benutzerinformationen sind in einer Datenbank hinterlegt). Bei erfolgreicher Anmeldung wird eine Session angelegt, in der die wichtigsten Benutzerinfos (einzelne Rechte, E-Mail-Adresse etc.) sowie der Status "logged_in" gespeichert wird. Dieser Status wird auf jeder Seite abgefragt und bei fehlen dieses Wertes wird auf die Login-Seite weitergeleitet.
Ein anderes System habe ich auf einer Seite im Einsatz, wo ich nur den Benutzernamen brauche und alle Benutzer die selben Rechte haben. Dort habe ich den Bereich mit .htaccess geschützt.

Ich frage mich nun, was die sicherere Lösung ist und ob eine Kombination sicher wäre. Ich könnte doch den Bereich mit .htaccess schützen, dann den Benutzernamen des erfolgreich angemeldeten Benutzers auslesen und seine Benutzerrechte und -informationen bei Bedarf aus einer Datenbank auslesen.

Ist das irgendwie sicherer, unsicherer, sinvolll oder sinnlos?

Ich hoffe ihr konntet mir folgen und freue mich auf eure Meinungen.

Viele Grüße
Florian
X

Diskussion: Sicherheit von Passwortabfragen

SabineP
Beiträge gesamt: 7586

4. Mai 2007, 13:01
Beitrag # 2 von 5
Beitrag ID: #289793
Bewertung:
(4167 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo Florian,

wenn Du wirklich Sicherheit möchtest, dann verwende die Zugangskontrolle per .htaccess in Verbindung mit einem SSL-Zertifikat.

In Verbindung mit dem Apache-Modul mod_auth_mysql können die Zugangsdaten
auch in der MYSQL-Datenbank stehen anstatt in der .htpasswd

Gruß Sabine


als Antwort auf: [#289752]

Diskussion: Sicherheit von Passwortabfragen

flobaer
Beiträge gesamt: 317

4. Mai 2007, 13:19
Beitrag # 3 von 5
Beitrag ID: #289795
Bewertung:
(4163 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo Sabine,

wenn ich das richtig verstehe, gibt es dort eine vorgegebene MySQL Datenbank, in der alle User für den gesamten Server drin stehen. Außerdem habe ich keine Möglichkeit weitere Informationen mit zu speichern, oder?
Letztendlich muss man dann auch in der Lage sein, das Modul zu installieren, sofern es nicht vorhanden ist, was bei den meisten Providern aber nicht geht.

Wenn ich dich weiterhin richtig verstehe, ist eine Absicherung mit .htaccess sicherer als eine über ein PHP Formular?

Wie sicher schätzt du denn von mir beschriebenen Weg ein den über .htaccess eingeloggten Benutzer abzufragen und anhand des Benutzernamens die weiteren Infos aus eine Datenbank zu holen?

Viele Grüße
Florian


als Antwort auf: [#289793]

Diskussion: Sicherheit von Passwortabfragen

ganesh
Beiträge gesamt: 1981

4. Mai 2007, 15:20
Beitrag # 4 von 5
Beitrag ID: #289830
Bewertung:
(4145 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Wenn du grösstmögliche Sicherheit willst, kommst du um ein SSL-Zertifikat kaum herum.

Ich hoffe doch sehr, dass du nicht das Passwort als plain text in der Datenbank ablegst, oder? Immer nur einen "hash" String speichern (SHA1 oder ähnliches), dann ists irreversibel.


als Antwort auf: [#289795]

Diskussion: Sicherheit von Passwortabfragen

SabineP
Beiträge gesamt: 7586

4. Mai 2007, 15:43
Beitrag # 5 von 5
Beitrag ID: #289838
Bewertung:
(4139 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
>> wenn ich das richtig verstehe, gibt es dort eine vorgegebene MySQL Datenbank,
>> in der alle User für den gesamten Server drin stehen.
>> Außerdem habe ich keine Möglichkeit weitere Informationen mit zu speichern, oder?

Du kannst alles frei definieren, es ist da nichts festgelegt.
Und Du kannst in der Tabelle mit den Benutzernamen und Paßwörtern
auch noch weitere Informationen speichern.


>> Letztendlich muss man dann auch in der Lage sein, das Modul zu installieren.

Am besten den Provider fragen, ohne root-Zugang läßt sich das Modul leider nicht installieren.
Besonders bei sehr vielen Benutzern ist es sehr angenehm für die Performance.


>> Wie sicher schätzt du denn von mir beschriebenen Weg ein den über .htaccess
>> eingeloggten Benutzer abzufragen und anhand des Benutzernamens
>> die weiteren Infos aus eine Datenbank zu holen?

Vom Browser zum Webserver wird der Benutzername und das Paßwort nur base64 codiert.
Innerhalb dieser Übertragung besteht die größte Unsicherheit, deshalb sollte man hier ein SSL-Zertifikat verwenden.
Gruß Sabine


als Antwort auf: [#289795]
(Dieser Beitrag wurde von SabineP am 4. Mai 2007, 15:44 geändert)
X

Veranstaltungskalender

Hier können Sie Ihre Anlässe eintragen, welche einen Zusammenhang mit den Angeboten von HilfDirSelbst.ch wie z.B. Adobe InDesign, Photoshop, Illustrator, PDF, Pitstop, Affinity, Marketing, SEO, Büro- und Rechtsthemen etc. haben. Die Einträge werden moderiert freigeschaltet. Dies wird werktags üblicherweise innert 24 Stunden erfolgen.

pdf-icon Hier eine kleine Anleitung hinsichtlich Bedeutung der auszufüllenden Formularfelder.

Veranstaltungen
19.12.2019

Ortsunabhängig
Donnerstag, 19. Dez. 2019, 10.00 - 10.30 Uhr

Webinar

Wir stellen Ihnen anhand konkreter Workflows die Möglichkeiten und Vorteile einer automatischen PDF-Prüfung und -Korrektur vor.

halbstündig, kostenlos

Ja

Organisator: Impressed GmbH

Kontaktinformation: Detlef Grimm, E-Mailschulungen AT impressed DOT de

https://www.impressed.de/schulung.php?c=sDetail&sid=113

Switch PDF Automation Server
Veranstaltungen
09.01.2020

Ortsunabhängig
Donnerstag, 09. Jan. 2020, 10.00 - 10.30 Uhr

Webinar

Wir zeigen Ihnen in diesem ca. halbstündigen kostenlosen Wewbinar, wie Sie mit der pdfToolbox im Handumdrehen PDF-Dateien überprüfen, korrigieren und für verschiedene Druckbedingungen aufbereiten können.

Ja

Organisator: Impressed GmbH

Kontaktinformation: Detlef Grimm, E-Mailschulungen AT impressed DOT de

https://www.impressed.de/schulung.php?c=sDetail&sid=281

callas pdfToolbox 11