nicht angemeldet
Hi,
warum wird hier die session schon gestartet bevor überhaupt eine authenifizierung stattgefunden hat?
da das nun erklaertermassen eine der wenigen Sachen innerhalb des Bereichs der IT ist, die ich vollstaendig verstanden habe, moechte ich da nun doch ein paar Worte der Diskussion beifuegen.
Wir haben um Sicherheit zu implementieren in aller Regel die Entitaeten 'Sitzungen', 'Nutzer' und 'Rechte'. Wobei wir in aller Regel zwischen 'Sitzungen' und 'Nutzer' eine "1:n"-Beziehung und zwischen 'Nutzer' und 'Rechte' ebenfalls eine "1:n"-Beziehung zu pflegen haben (ja, ich weiss, es kaeme bei letzterer Beziehung auch eine "n:m"-Beziehung in Frage).
In der Folge wollen wir nun versuchen zu verstehen, welche Wesen hinter den o.g. Entitaeten stehen.
'Sitzungen':
Eine Sitzung ist so zu sagen die Identifikationsschicht und entsteht dann, wenn ein Client sich mit einem System erfolgreich verbunden hat. (Da wir hier, wie eigentlich immer, einen Nachbau der Realitaet zu bearbeiten haben, stellen wir uns den o.g. Sachverhalt einfach wie einen Begin einer sozialen Beziehung vor.)
'Nutzer':
Ist eine Sitzung gegeben, so entsteht naturgemaess oft das Beduerfnis den Kooperationspartner kennen zu lernen. Zu diesem Zweck gibt es oft eine Tabelle, die es erlaubt bestimmte Nutzer einem System gegenueber erkennbar zu machen. ("Hallo, Herr Mueller", sagt die Frau im Geschaeft, nachdem sie denselben anhand einer Gesichtsprobe zu erkennen glaubte. Im Bereich der IT erfolgt die Authentifizierung aber sicherer bspw. ueber Angabe eines Namens und eines kennworts, oder "noch sicherer" ueber Smartcards und so)
'Rechte':
Ist der Nutzer nun authentifiziert und meldet sich dieser zukuenftig ueber einen Verweis auf eine authentifierte Verbindung, so liegt es nahe diesen der Anforderungslage entsprechend zu berechtigen. Dafuer haben wir das Wesen 'Rechte'. Bei jedem Datenzugriff sollte also nun ueberprueft werden a) welcher Nutzer auf der gemeldeten Verbindung "sitzt" und b) welche Rechte dieser Nutzer hat und ob diese in Bezug auf den angeforderten Datenzugriff ausreichend sind.
Das nennt sich dann Autorisierung ("Identifikation+Authentifikation+Autorisierung==Sicherheit").
Nunmehr sollte also die o.g. Frage beantwortet sein. Uebrigens solltest Du mit "modernen" Verschluesselungsverfahren sicherstellen, dass o.g. Kommunikation nicht "abgehoert" werden kann.
Gruss,
Ludger