Website-Login mit Userdaten aus phpBB3 (Sicherheitsfrage!)
Verfasst: 22.12.2008 20:46
Hi zusammen,
Vorneweg: In meinem Post gehts um Cookies. Keine Sorge, es handelt sich nicht um eine Frage a la "Wie bau ich mir einen eigenen Websitelogin anhand der Userdaten aus dem phpBB3?"
Ich bastle derzeit an einer neuen Community Website und möchte dort auch eine Auto-Login-Funktion anbieten. Der Login an sich auf der Website funktioniert über die Daten, die die User bei ihrer Forumsregistration angegeben haben. Ein User registriert sich quasi im Forum und erstellt einen neuen Account, kann aber gleichzeitig diesen Account auch auf der Website verwenden.
Folgendes Problem in Punkto Sicherheit für Auto Login:
Ich möchte dem User die Möglichkeit bieten den Login via Cookie (Auto Login) zu speichern...
Mein Gedanke war folgender:
Ich speichere den Benutzernamen und das phpBB3-verschlüsselte Passwort aus der Datenbank im Cookie. Beim erneuten Besuchen der Page wird das Cookie abgerufen, überprüft, und der Besucher eingeloggt.
Jetzt aber die Frage: Ist das sicher? Kann ich so ohne weiteres das verschlüsselte Passwort im Cookie speichern oder stellt das ein Sicherheitsrisiko dar? Ich hab in der Hinsicht leider nicht so viele Erfahrungen. Über jeden noch so kleinen Tipp wär ich euch echt dankbar.
Viele Grüße,
Chrissi
Vorneweg: In meinem Post gehts um Cookies. Keine Sorge, es handelt sich nicht um eine Frage a la "Wie bau ich mir einen eigenen Websitelogin anhand der Userdaten aus dem phpBB3?"
Ich bastle derzeit an einer neuen Community Website und möchte dort auch eine Auto-Login-Funktion anbieten. Der Login an sich auf der Website funktioniert über die Daten, die die User bei ihrer Forumsregistration angegeben haben. Ein User registriert sich quasi im Forum und erstellt einen neuen Account, kann aber gleichzeitig diesen Account auch auf der Website verwenden.
Folgendes Problem in Punkto Sicherheit für Auto Login:
Ich möchte dem User die Möglichkeit bieten den Login via Cookie (Auto Login) zu speichern...
Mein Gedanke war folgender:
Ich speichere den Benutzernamen und das phpBB3-verschlüsselte Passwort aus der Datenbank im Cookie. Beim erneuten Besuchen der Page wird das Cookie abgerufen, überprüft, und der Besucher eingeloggt.
Jetzt aber die Frage: Ist das sicher? Kann ich so ohne weiteres das verschlüsselte Passwort im Cookie speichern oder stellt das ein Sicherheitsrisiko dar? Ich hab in der Hinsicht leider nicht so viele Erfahrungen. Über jeden noch so kleinen Tipp wär ich euch echt dankbar.
Viele Grüße,
Chrissi