"uncrackbare" loginauthentifizierung

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • "uncrackbare" loginauthentifizierung

    Hallo zusammen,

    Wieder mal ich:
    Ich brauche eine möglichkeit meine seite so zu schützen, dass ein fremdeinahme eines accounts über eine SessionsID unmöglich ist! Bis jetzt habe ich mit einer SID gearbeitet, die als cookie da war, und in einer DB dann überprüft wurde.. allerdings gabs jetzt leute die programme schrieben, speziel um diese SID zu lesen, und dann ihren account einnahmen.

    Was kann ich zusätzlich für eine Auth benutzen? IP wird schwierig, da ich auch viele aol nutzer habe...

    Weiss noch jemand etwas über die Browserfenster interne BrowserfensterID? Es gibt seiten, die arbeiten auch mit cookies, aber wenn man sie dann in einem neuen fenster öffnet, gehts nicht.. Wie wird das gemacht?

    Vielen Dank für eure Antworten!

    Sven
  • verstehe ich das richtig das leute in deiner DB rumlesen???
    wenn ja wirds kompliziert wenn nicht gibs da schon lösungen.
    nochne frage WAS HAST DU FÜR USER?
    und wenn die nicht in deiner DB rumlesen wie kommen die dann an die SessionID ran?
    Achso und nochwas Arbeitest du mit PHP oder mit ASP?
  • hey,

    danke für die antwort.

    Ich arbeite mit php.
    Es sind zwar keine geheimen Regierungsprojekt, aber es sollten trotzdem hacker draufkommen. Sie kommen nicht in die DB, aber es gibt programme, die bestimmte cookies aus dem Speicher lesen (lokal) und den Inhalt dann weitergeben, und so kommt der unerwünschte besuch.. Nun sollte ich ein paar verschiedene Auth haben, die niccht mit einem einzelnen programm ausgelesen werden können...

    Sven
  • okay also lesen sie ihre eigenen cockies aus um dann als "sie selbst" auf deiner seite rumzuspucken ??? hört sich zwar komig an aber es soll ja alles geben ;)
    also du könntest z.B. eine ID in einen datensatz schreiben lassen sobald sichein user über die normale anmelde funktion einloggt.
    dann fragst du auf der nächsten seite einfach per javascript oder PHP ab ob die ID die du dann auch in eine variable geschribene hast mit der in der datenbank übereinstimmt. die ID lässt du am besten aus dem usernamen und der uhrzeit mixen. somit ist es dann ziemlich schwer zu kancken.
  • okay ich versuchs mal ein bisschen besser zu erklären also du lässt (wenn sich ein user einloggt) eine zahl per rand() in die datenbank schreiben (bilde aber erst ne varibale daraus (also $name = rand() ) ).
    Ausserdem lässt du die variable durch ne kleine formel laufen ich mach mal gerade n beispiel für die sache.

    $name = rand() (wir nehmen jetzt an es ergib 24)
    $name2 = $name (durch) 2 (mal) 7

    SELECT "namenid" FROM "user" WHERE "user" = Session("User")
    DATEN("namenid") = $name

    somit hast du jetzt in der varibale name und in dem tabellenfeld namenid 24 und in der variable name2 84 stehen.
    Weiter gehts auf die nächste seite (wobei variable2 an den link per "dingens.php?var=$name2" angehangen werden muss)
    dann fragst du name2 auf der nächsten seite wieder ab und lässt es wieder durch die formel zurück laufen also

    $name2 = $_GET("var")
    $name3 = $name2 (durch) 7 (mal) 2

    jetzt hast du dir wieder eine varibale aus dem "linkanhängsel gebildet und die 84 die in $name2 standen wieder in den Uhrzustand (24) gebracht.
    dann kommt noch ein.

    SQL conntction
    SELECT ......
    IF $name3 = DATEN("namenid")

    DEINE WEBSITE

    ELSE

    NIX MEHR

    das wäre eine ziemlich einfache art die user davon abzuhalten einfach so auf diene seite zu kommen. da ja alles aus zufallszahlen bestet und sie die formel auch nicht zurückverfolgen können.

    das ist natrülcih nur das gerüst, aber ich hoffe ich konnte dir weiterhelfen
  • Hey,

    Vielen Dank für deine Antwort! Jetzt hab ichs begriffen :)


    Ich habs noch ein wenig anders gemacht (user_agent noch reingenommen) usw.. Jetzt denke ich ist es ziemlich sicher..

    Danke für deine Antworten!

    Sven
  • Hi,

    auf h**p://board.protecus.de

    habe ich gelesen das man bei AOL Usern einfach nur die ersten 24bit der IP prüfen soll:
    substr(dechex(ip2long($HTTP_SERVER_VARS['REMOTE_ADDR'])), 0, 6))

    das andere User fremde Cookies klauen können, darf eigentlich nicht sein, da musst Du ein Fehler in Deinem Script haben!