Hallo,
ich schreibe grade eine Seite mit Login und das soll ultra-kraß-über-sicher werden.
Wie übermittle ich das Passwort verschlüsselt und kommt man an die nächste Seite trotzdem ran? Muß ich so eine .htaccess basteln?
Dario
Yo!
wenn du einen sicheren Login willst, dann soltest du das ganze über SSL regeln. Dafür muss dein Server aber über SSL verschlüsselte Verbindungen annehmen.
In den SSL Modus wechseln kannst einfach per http s ://www.domain.com Per PHP abfragen, ob SSL aktiv ist, geht mit $GLOBALS[„HTTPS“]. Darin steht „on“, wenn SSL aktiv ist.
Daniel
Moin,
wenn du einen sicheren Login willst, dann soltest du das ganze
über SSL regeln. Dafür muss dein Server aber über SSL
verschlüsselte Verbindungen annehmen.In den SSL Modus wechseln kannst einfach per
http s ://www.domain.com Per PHP abfragen, ob SSL aktiv
ist, geht mit $GLOBALS[„HTTPS“]. Darin steht „on“, wenn SSL
aktiv ist.Daniel
Richtig, aber ohne .htaccess ist es immernoch nichts weiter als ein deep-link an dem man vorbeikommt.
widecrypt
Hallo,
erstmal ist zu sagen, dass du die Anmeldung auf jeden Fall über SSL verschlüsseln solltest, um das Abhören der Daten auf dem Übermittlungsweg zu verhindern.
Wie du nun weiter vorgehst, hängt von dir ab.
-
Basic Authentication:
Dies ist der Mechanismus, den du als .htaccess beschreibst. Der Nachteil an einer .htaccess ist der Verwaltungsaufwand, da es sich meist um eine Datei handelt. Unter PHP kannst du aber die Funktionalität der .htaccess gut nachbilden. Wenn du dieses Verfahren nutzen willst und deeplinks vermeiden willst, dann solltest du auf jeder Seite die übermittelten Daten verlangen (Sie sind teil des Header der HTTP - Anfrage). -
Login mit Sessionverwaltung
Eine weitere Möglichkeit ist es, z.B. eine Loginseite zu machen, die eine Session generiert. Alle folgenden Seiten dürfen nur mit einer gültigen Session aufgerufen werden, die du bei jedem aufruft prüfst. Um die Session noch sicherer zu machen, kannst du diese auch an eine IP binden; dann hast du allerdings Probleme, dass bei einem IP-Wechsel die Session nicht mehr gültig ist.
(es gibt sicherlich noch weitere…)
Als die sichere Variante würde ich die erste ansehen. Jede Seite mittels Basic Authentication absichern und die komplette Verbindung über SSL sichern. Außerdem hast du so den grossen Vorteil, dass du jede Seite direkt aufrufen kannst.
Hilfreich bei der Umsetzung könnte das Kapitel 34 sein 
:
http://php3.de/manual/de/features.http-auth.php
Bye,
hebelt
Hallo,
Richtig, aber ohne .htaccess ist es immernoch nichts weiter
als ein deep-link an dem man vorbeikommt.
ich hatte das so verstanden, dass er den Login über PHP Sessions oder HTTP Basic Authentiation realisieren wollte. Ich dachte, es ginge hier nur um die Sicherheit der zu übertragenden Logindaten.
Daniel
danke, das funktioniert schon mal.
Ich bedanke mich.
Die Richtung ist jetzt klar, werde mich mal einlesen.
Dario