Zusätzliche Login-Daten im Profil speichern

Chi-Yu · Beitrag von **Chi-Yu** » 27.07.2008 15:12

Guten Tag.

Ich habe ein wenig durch dieses Forum gewühlt und entweder mangels fehlender Kompetenz bei der Benutzung der Suchfunktion oder wegen dem Fehlen der gewünschten Informationen leider nicht das gefunden was mich weiter bringt.

Ich möchte es Forumbenutzern ermöglichen in ihrem Profil Zugangsdaten (Benutzername und Passwort) zu einem AuthServ Account im IRC abzulegen. Aus diesen Daten soll dann ein Link gebaut werden, mit dem die Forumbenutzer in den Chat gelangen.

Mein erster Ansatz waren benutzerdefinierte Profilfelder, aber dazu fehlen mir 2 Voraussetzungen:

Ich müsste noch wissen wie man im Template auf die Profilfelder des angemeldeten Benutzers zugreift (was sicher irgendwo dokumentiert ist)
Es ist sicher keine gute Idee das Passwort im Klartext per GET an die URL zu hängen. Eine Mehrwegverschlüsselung mit benutzerdefiniertem "salt" wäre wünschenswert.

Vorschläge?

Beitrag von **Boecki91** » 27.07.2008 19:31

Der Zugriff auf die Profilfelder im Template geschieht automatisch. d.h. wenn du ein Feld anlegst erscheint es automatisch überall, was für Passwörter etc, sicher nicht gut ist.

Und was bringt eine Mehrwegverschlüsselung?

WEr HTTP-Logs auslesen kann, kann meist auch welche Nachbilden und sich so als der eigentliche User ausgeben.

Wie wird überhaupt auf das IRC zugegriffen?

Chi-Yu · Beitrag von **Chi-Yu** » 27.07.2008 19:57

Boecki91 hat geschrieben:Der Zugriff auf die Profilfelder im Template geschieht automatisch. d.h. wenn du ein Feld anlegst erscheint es automatisch überall, was für Passwörter etc, sicher nicht gut ist.

In der Tat. Meiner Meinung nach lässt sich dieses Verhalten aber über die Konfiguration abschalten, was ich meines Wissens nach bereits getan habe. Die Profilfelder tauchen bei mir jedenfalls nur noch auf wenn ich sie explizit im Template einbaue. Ich nehme aber gerne andere Möglichkeiten in Anspruch.

Boecki91 hat geschrieben:Und was bringt eine Mehrwegverschlüsselung?

Ich möchte die Daten an ein externes PHP-Script übergeben welches sie dann wieder entschlüsselt.

Boecki91 hat geschrieben:WEr HTTP-Logs auslesen kann, kann meist auch welche Nachbilden und sich so als der eigentliche User ausgeben.

Bitte was?

Boecki91 hat geschrieben:Wie wird überhaupt auf das IRC zugegriffen?

PJIRC.

Beitrag von **Boecki91** » 27.07.2008 20:19

Warum verschlüsselt man GET und POST Daten?

Standard-Antwort: "Damit einer der 'irgendwie' die Verbindung mitliest, mein Passwort nicht bekommen kann"

Jemand der so etwas (HTTP-Requests) mitlesen kann, kann diese auch in aller Regel verfälschen oder einfach selbst noch einmal absenden

Wenn da z.B. http://rgendwas.deindex.php?geheim=1q9234v steht kann ich das doch abtippen und selbst drauf klicken oder?

Dafür müsstest du schon https verwenden.

Chi-Yu · Beitrag von **Chi-Yu** » 27.07.2008 20:59

Das ist mir bewusst. Darum geht es auch gar nicht. Wenn man wirklich will kann man die ganze Website über HTTPS aufrufen.

Sinn der Sache ist eigentlich nur, dass in der Adresszeile eben nicht im Klartext das Passwort steht sondern irgend ein Quark den man sich nicht auf die Schnelle merken kann.

Mein Problem ist, dass die Leute offenbar zu faul sind sich jedes mal bei AuthServ einzuloggen, obwohl ich dafür schon einen "1, 2, 3 Assistenten" in JavaScript zusammengebaut habe. Und faule Leute verzichten gerne auf zusätzliche Sicherheit wenn sie sich dafür nicht jedes mal irgendwo einloggen müssen.