Schönen guten Abend,

Ich bin derzeit bei der geistlichen Suche nach einer guten Login Lösung.

$Session oder Cookies sind ja anscheinend alle nicht wirklich sicher. Erst dacht ich an so einem Verfahren ähnlich wie bei Foren. Allerdings zeigte mir ein Kollege wie einfach es ist die Passwörter auszulesen (wbb und smf-forum).
Er ist zwar schon sowas was man als "Freak" bezeichnen würd aber, daß es so einfach ist hätte ich nicht gedacht :|
Er sagte mir, daß es nur mit einer SSL Verbindung + serverseitigen Speicherung sicher ist.
Nun , ich habe einen Webserver ohne SSL, wie kann ich also maximale Sicherheit erreichen? Sein Kommentar war:Geht nicht.
Vielleicht habt ihr ja Ideen.
Danke

Um rauszufinden, dass nichts wirklich sicher ist, was login Daten plaintext über's Netz verschickt muss man doch kein `Freak' sein. :rolleyes:

$Session oder Cookies sind ja anscheinend alle nicht wirklich sicher. Erst dacht ich an so einem Verfahren ähnlich wie bei Foren.
Foren benutzen Sessions und Cookies...

Passwort clientseitig (javascript) mit RSA verschlüsseln und dann serverseitig den Hash speichern...

- Eth

Passwort clientseitig (javascript) mit RSA verschlüsseln und dann serverseitig den Hash speichern...

- Eth
Das Kennwort im klartext in einer Sessionvariable zu speichern ist ja auch grob ausgedrückt fahrlässig. Aber auch da kommt man ja nur dran, wenn man an diesen Rechner gelangt. Einfach abmelden oder Oberfläche sperren, wenn man weg geht. Und das jemand meine Übertragungen snifft, um an ein Forenkennwort oder mein Blog zu komen, das ist... öh... mehr als unwahrscheinlich (und ich behaupte mal, daß es sich hier nicht wirklich um relevante Dinge wie Kontodaten handelt ;)).

Klar - aber was wenn doch?

Theoretische Sicherheit gegen Abhören oder Session-raten würde aber die RSA-Verschlüsselung bieten, da der geheime Schlüssel des Servers dem UserPCs nicht bekannt ist! Da bringt auch abhören nüschts. In der Session wird dann nur ein verschlüsselter Wert gespeichert.
SSL wär aber die komfortablere Lösung.

- Eth