Tom: Wie gestalte ich ein sicheres Loginsystem? (Im Detail)

Beitrag lesen

SELF-Forum

Wie gestalte ich ein sicheres Loginsystem? (Im Detail)

Tom Homepage des Autors
Informationen zu den Bewertungsregeln

Hello,

Du verwechselst jetzt aber nicht Auth-Basic/Auth-Digest mit Auth-Token/Sessioncookie?

Ok, ich habe mich missverständlich ausgedrückt. Ja, ich meine Auth-Basic/-Digest, also die Eingabe von Benutzername und Passwort und deren Übertragung an den Server. Die Authentifizierungsdaten werden bis zum Ende der Browsersession bei jedem Request an den aufgefordert habenden Server mit übertragen.

Speziell in Hinsicht auf deinen Gedankengang halte ich Auth-* zu Cookies für gleichwertig. In beiden Fällen kann man das übertragene Datum serverseitig auswerten. Dass sich dieses Bild bei weiteren Anforderungen ratzfatz ändert, ist klar.

Das ist keinesfalls gleichwetig.

siehe
http://www.w3.org/2001/sw/Europe/events/foaf-galway/papers/fp/token_based_authentication/

Das ist zwar eine Menge Geschreibe um Dinge, die schon seit dem Beginn der Netzwerktechnik klar waren, aber das w3 hat es gehostet, und damit muss es ja nun gut sein ;-))

Kurz: Auth-Basic überträgt bei jedem Request die Original-Credentials, die sich auch nach der Sitzung nicht unbedingt ändern werden, also Bestand haben.

Auth-Token ==(=) Session-Cookie überträgt einen Ersatzschlüssel mit begrenzter Haltbarkeit. Klar, das Passwort und der Loginname müssen auch erst einmal durchs Netz, das muss aber nicht in einem Request erfolgen, sondern kann auch auf zwei aufgeteilt werden. Dafür kann man dann denselben Token verwenden (ohne Authorisierung, nur zur Identifizierung) und ihm im zweiten Schritt die Auth-Rechte zuordnen, oder man nimmt besser zwei Tokens.

Aber solange alles unverschlüsselt übertragen wird, dient diese vermeintliche Sicherheit sowieso nur gegen billige Gangster. Die Profis lesen mit. Und die absoluten Obergangster klinken sich am Quell- oder Zielport ein, nutzen das Tagging, stellen den Server-Host fest und greifen dort direkt ab. Solange die Kommunaktion durch die Obergangster-Netze flitzt und keine anderen dazwischen sind, bleiben die Tags an den Paketen erhalten. Im Falle einer "notwendigen Abschaltung" des Netzes kann man so die ungetaggten einfach unterdrücken, die anderen bequem verfolgen.

Das wissen wir ja nicht erst seit Snowden.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

--
 ☻_
/▌
/ \ Nur selber lernen macht schlau
http://bikers-lodge.com
Beitrag melden
Informationen zu den Bewertungsregeln
0 33

Wie gestalte ich ein sicheres Loginsystem? (Im Detail)

lska
  • php
  1. 0
    Matthias Apsel
    1. 0
      Tom
      1. 0
        Auge
        1. 0
          Tom
          1. 0
            Auge
            1. 0
              Tom
            2. 0
              molily
              1. 0
                Tom
                1. 0
                  molily
                  1. 0
                    Tom
    2. 0
      molily
    3. 0
      Melvin Cowznofski
      1. 0
        Tom
        1. 0
          Melvin Cowznofski
          1. 0
            Tom
            1. 0
              Melvin Cowznofski
              1. 0
                Tom
                1. 0
                  Melvin Cowznofski
                  1. 0
                    Tom
                    1. 0
                      Melvin Cowznofski
                      1. 0
                        Tom
          2. 1
            molily
      2. 0
        molily
        1. 0
          Tom
  2. 0
    Tom
    1. 0

      Wie gestalte ich ein sicheres Loginsystem? Siehe Archiv!

      Tom
      1. 0

        Siehe Archiv!

        Matthias Apsel
        • menschelei
        1. 0

          Siehe Archiv! *rotfl*

          Tom
  3. 1
    molily
  4. 0
    hotti
    1. 0
      hotti
  5. 0

    http://www.php-login.net/

    tami