Wie geht eine 'Authentifizierung'?

Computer: Software & Programmierung JavaScript & Script-Sprachen
#1

Hallo
Wie kann man eine Authentifizierung realisieren?
Anmeldung mittels Passwort ist sicher das bekannteste, dann kenn ich noch die Cookies zum Speichern eines Passworts oder einer Identität.

Gibt es weitere Möglichkeiten?

MfG
Matthias

#2

Hallo,

Anmeldung mittels Passwort ist sicher das bekannteste, dann
kenn ich noch die Cookies zum Speichern eines Passworts oder
einer Identität.

Du musst zwischen zwei Problemen unterscheiden, die recht unabhängig voneinander sind.

  1. du musst den Benutzer einmal eindeutig authentifizieren, z.B. mit einem Passwort, einem kryptographischen Schlüssel oder mit Biometrischen Daten (z.B. Fingerabdruck).

  2. Da du im js-Brett fragst, gehe ich davon aus, dass du http verwendest. Das ist ein zustandsloses Protkoll, d.h. du musst deine einmalige Authentifizierung für weiter Anfragen Speichern und bei jeder Anfrage neu übermittel. Dazu kannst du
    a) jedes mal das gleiche mach wie bei 1) (sehr umständlich), oder
    b) einee Session-Id übergeben. Dazu eignen sich cookies, möglich aber suboptimal sind hidden field in Formularen und querystrings (also urls der Form …/index.cgi?sessid=aslkdfjehokdfjsaoe).

Hat das deine Frage beantwortet?

Grüße,
Moritz

#3

Hat das deine Frage beantwortet?

Grüße,
Moritz

Danke. So viel wußte ich aber auch schon.
Was ich mit der SessionId machen kann, muß ich mir noch überlegen.
Meine Frage bezog sich nicht unbedingt auf JavaScript, sondern allgemein auf Services, welche eine User-Authentifizierung benötigen.
Wenn ich in Cookies etwas abspeichere, können die ja kopiert werden, so das sie mir nicht so besonders sicher erscheinen. Ist das richtig?
Andererseits ist eine ewige Passwortabfrage doch etwas lästig.
Biometrie kann man glaub ich im Internet vergessen.
MfG
Matthias

#4

Hallo,

Wenn ich in Cookies etwas abspeichere, können die ja kopiert
werden, so das sie mir nicht so besonders sicher erscheinen.
Ist das richtig?

Um sie kopieren zu können, braucht man aber Zugriff auf den Rechner, auf dem der cookie gespeichert ist. Und (theoretisch) kann dir nur der, der auch das Passwort weiss, das man braucht um so ein cookie zu bekommen, dir Leserecht geben.

Andererseits ist eine ewige Passwortabfrage doch etwas lästig.

Apropos Passwort: http://srp.stanford.edu/

Biometrie kann man glaub ich im Internet vergessen.

Das kommt immer darauf an, wie hohe Sicherheitsstandards man braucht.

Grüße,
Moritz