Steel: Ausreichendes Sicherheiskonzept?

Beitrag lesen

SELF-Forum

Ausreichendes Sicherheiskonzept?

Steel
Informationen zu den Bewertungsregeln

Hi!

Ich baue gerade an einem Intranetprojekt das Europaweit ausgerollt werden soll. Im Moment artbeite ich an einem Anmeldeverfahren, dass ohne Cookies (Sessions) auskommen soll.

Ich frage mich, ob mein momentanes System ausreicht oder ob jemand dort noch eine Luecke findet.

Folgendes Konzept setze ich gerade um:

Der User meldet sich an und bei korrekten Logindaten wird seine ID, und ein Zeitpunkt gespeichert bis zu dem seine Anmeldung gueltig ist. Im Moment ist das now + 60 Minuten.

Jetzt wird diese Tabelle bei bei jeder Aktion eines Users (Beim Anmelden, aufrufen einer Seite, Dateneingabe,...) zuerst von abgelaufenen IDs befreit und dann nach Gueltigkeit der uebergebenen ID geprueft. Das ganze finde am Anfang jeder aufgerufenen Datei statt. (ASP - nicht .NET - Seiten)

Ich kann also z.B. eine Seite manuell mit GET Parametern aufrufen und ihr eine beliebige ID uebergeben. Wenn diese ID nach dem Delete auf der LogTabelle noch vorhanden ist, wird die gewuenschte Aktion ausgefuehrt/Seite aufgerufen, ansonsten zum Login umgeleitet. Anmelden sollte sich ja nur der User mit koennen so dass es keine Probleme damit gibt wenn jemand einfach eine beliebige ID benutzt.

Was mich jetzt noch etwas stoert ist der Umstand, dass quasi jeder einen beliebigen User imitieren kann, wenn dieser noch einen gueltigen Datenbankeintrag hat, z.B. weil er gerade an etwas arbeitet.

2 Fragen: Ist der eigentliche Denkansatz in Ordnung? Wie kann ich am besten den User verifizieren? Ich habe dabei Probleme mit ASP und einer ID. Bei PHP wuerde ich das ueber eine SessionID (SID in der URL) machen. Bei ASP habe ich nichts entsprechendes gefunden. Nur die Empfehlung soetwas mit einem timestamp zu machen. Die sind mir aber nicht eindeutig genug da das Tool spaeter von tausenden Leuten mehr oder weniger gleichzeitig benutzt wird. Ich uesste ja nun irgendwie eine eindeutige Variable mitschleifen die den User eindeutig identifiziert. Die User IDs sind bekannt, also dafuer eben nicht zu gebrauchen.

Hm. Ich denke grad hab ich mir die Antwort selbst gegeben, auch wennich noch nicht weiss, wie ich das umsetzen soll. Fuer Ideen, Kritik und Tipps waere ich trotzdem dankbar. Gerade das alte ASP mit VBScript macht mir wirklich zu schaffen.

Gruss
Steel

Beitrag melden
Informationen zu den Bewertungsregeln