ein Angreifer braucht jetzt also nicht mehr das Passwort des Users, sondern nur noch den letzten Einlogzeitpunkt, das läßt sich doch schon sehr viel leichter Brute-Forcen oder vielleicht reicht es ja sogar nur die aufgerufenen URLs des Users zu haben (ok, Passworte und HTTP ohne S am Ende vertragen sich eh nicht), um den Zeitpunkt ziemlich gut abschätzen zu können. Ein Zufallsstring wäre da dann wohl doch besser.

Hmpf... dann verschleier es doch ein wenig. bcrypt für das Datum oder du wandelst es in eine Zeichenkombination um. 1 Steht für a 2 für b, die punkte werden weggeschnitten... keine ahnung. Ein wenig kreativität braucht man dann schon noch.

und das obwohl die Lösung von ichbinich viel eleganter ist.

Joa sehr elegant. Der User sitzt vor dem Formular und macht 30 Minuten gar nichts. Dann klickt er auf absenden. Der Login ist abgelaufen, die daten werden in eine zweite Session geladen ein Loginscreen erscheint. Selbstverständlich füllt der User diesen SOFORT aus. Muss er ja auch, denn wenn er nochmal 30 Minuten wartet sind die Daten weg. Sehr elegant, muss man schon sagen ;).

Dann ist er halt länger eingeloggt, wo ist das Problem? Bei Facebook braucht man nur einmal den Haken setzen dass man länger eingeloggt bleiben möchte, dann ist man anscheinend das komplette Leben eingeloggt. Damit hatte ich noch nie Probleme, im Gegenteil. Hier bei selfhtml nervt es mich ständig mein Passwort ein geben zu müssen.

Gruß
"Cookie in Oreo umbennenen" Petition startender
T-Rex