Mike: "Remember Me" Login nicht sicher möglich?

SELF-Forum

"Remember Me" Login nicht sicher möglich?

Mike
Informationen zu den Bewertungsregeln

Hallo mal,

ich verzweifle gerade an der Theorie zu einem Loginscript, welches eine "Angemeldet bleiben" Funktion (d.h. man bleib eingeloggt, auch wenn man die Seite nach neuen Interneteinwahl ganz neu besuchen würde) enthält.

Sessions setzen zwar Cookies, wenn diese erlaubt sind, aber die kann man dann ja anscheinend stehlen. Ohne Sessioncookies ist ohnehin ganz und gar unsicher.
Und hier liegt mein Problem, denn dann kann ich jeden beliebigen Wert in den Cookie schreiben, sicher wär es nicht, wegen 'Diebstahlgefahr'. Kann ich dieses Problem aber lösen, ohne auf diesen Kompfort für den Benutzer zu verzichten? Ist das überhaupt möglich?

Dankbar für Antworten: Mike

Beitrag melden
Informationen zu den Bewertungsregeln

  1. "Remember Me" Login nicht sicher möglich?

    lulu Homepage des Autors
    Informationen zu den Bewertungsregeln

    Huhu Mike,

    Und hier liegt mein Problem, denn dann kann ich jeden beliebigen Wert in den Cookie schreiben, sicher wär es nicht, wegen 'Diebstahlgefahr'. Kann ich dieses Problem aber lösen, ohne auf diesen Kompfort für den Benutzer zu verzichten? Ist das überhaupt möglich?

    Eine gängige Praxis ist es bei wirklich sicherheitsrelevanten Interaktionen
    wie z.B. persönliche Daten ändern, neue Bestellung aufgeben etc. einen "frischen" Login zu verlangen.
    Für weniger kritische Sachen wie im Katalog blättern o.ä. reicht dann der Cookie vom letzten Besuch.

    Damit kann bei einem Cookie-Diebstahl kein größerer Schaden angerichtet werden.

    Viele Grüße

    lulu

    --
    bythewaythewebsuxgoofflineandenjoytheday
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. "Remember Me" Login nicht sicher möglich?

      ich
      Informationen zu den Bewertungsregeln

      Hallo.

      Ich gebe noch zu bedenken, das man Username/Passwort in zwischen auch im Browser speichern kann (teilwesie mit verschlüsselung - je nach Programm und Einstellungen), was es überflüssig machen kann sich darüber Gedanken zu machen.

      MfG
      Ich

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. "Remember Me" Login nicht sicher möglich?

        MiSo
        Informationen zu den Bewertungsregeln

        SSL & Co. ist ein bisschen übertrieben um einen Login zu speichern, findest du nicht?

        mfg
        Micha

        Beitrag melden
        Informationen zu den Bewertungsregeln

        1. "Remember Me" Login nicht sicher möglich?

          ich
          Informationen zu den Bewertungsregeln

          SSL & Co. ist ein bisschen übertrieben um einen Login zu speichern, findest du nicht?

          Ich meinte damit nicht SSL - was ja eh zum verschlüsseln von Datenübertragungen dient und nicht zum speichern von Daten.

          Beispiel Firefox - da kann man einstellen, das die gespeicherten Passwörter über ein Masterpasswort verschlüsselt werden sollen.

          Beitrag melden
          Informationen zu den Bewertungsregeln

  2. "Remember Me" Login nicht sicher möglich?

    MiSo
    Informationen zu den Bewertungsregeln

    erzähl mir mehr über Cookieklau, ich bin neugierig...

    mfg
    Micha

    Beitrag melden
    Informationen zu den Bewertungsregeln