Hi zusammen,
Vorneweg: In meinem Post gehts um Cookies. Keine Sorge, es handelt sich nicht um eine Frage a la "Wie bau ich mir einen eigenen Websitelogin anhand der Userdaten aus dem phpBB3?"
Ich bastle derzeit an einer neuen Community Website und möchte dort auch eine Auto-Login-Funktion anbieten. Der Login an sich auf der Website funktioniert über die Daten, die die User bei ihrer Forumsregistration angegeben haben. Ein User registriert sich quasi im Forum und erstellt einen neuen Account, kann aber gleichzeitig diesen Account auch auf der Website verwenden.
Folgendes Problem in Punkto Sicherheit für Auto Login:
Ich möchte dem User die Möglichkeit bieten den Login via Cookie (Auto Login) zu speichern...
Mein Gedanke war folgender:
Ich speichere den Benutzernamen und das phpBB3-verschlüsselte Passwort aus der Datenbank im Cookie. Beim erneuten Besuchen der Page wird das Cookie abgerufen, überprüft, und der Besucher eingeloggt.
Jetzt aber die Frage: Ist das sicher? Kann ich so ohne weiteres das verschlüsselte Passwort im Cookie speichern oder stellt das ein Sicherheitsrisiko dar? Ich hab in der Hinsicht leider nicht so viele Erfahrungen. Über jeden noch so kleinen Tipp wär ich euch echt dankbar.
Viele Grüße,
Chrissi
Website-Login mit Userdaten aus phpBB3 (Sicherheitsfrage!)
-
Chrissi007
- Mitglied
- Beiträge: 114
- Registriert: 08.02.2003 12:43
- Kontaktdaten:
Du wirst wahrscheinlich irgendeinen Session-Wert gespeichert haben, oder? Wie wäre es wenn du einfach diesen Wert in einem Cookie nimmst und am Anfang des Scriptes zuerst nachschaust, ob in dem Cookie die Session drinsteht und wenn ja dann wird die genommen. Zur Sicherheit kannst du dann natürlich auch bei jedem Autologin die Session wieder ändern und im Cookie neuspeichern. Müsste so eigentlich recht sicher sein.
Mit Freundlichen Grüßen, Valerion.
Administrator von http://www.aquarion.org
Bitte postet PHP-Codes immer immer mit
Administrator von http://www.aquarion.org
Bitte postet PHP-Codes immer immer mit
Code: Alles auswählen
und nicht mit [code]!