Einen Nutzer sicher wieder erkennen, aber anders?

Beitrag von **Anonymous** » 10.01.2006, 17:00

Hasso hat geschrieben:.. Username, Passwort bei jedem Seitenaufruf abfragen - klar das geht, aber das ist schon zu weit gegriffen, da hier schon weitere Handlungen von Seiten des Users nötig sind, was in der Aufgabe so nicht vorgegeben war.

nein... bei http-auth gibt der User den usernamen und Passwort einmal an, bei weiteren Abfragen des gleichen realm sendet der Browser die Angaben selbstständig.... erst wenn der Browser beendet und neu gestartet wird, muss der User die Daten neu eingeben... Ein Problem ist nur das sichere Ausloggen, hierzu muss entweder der Browser geschlossen werden, oder der User muss ein falsches Passwort eingeben....

von **Anzeige von ABAKUS** »

Beitrag von **sean** » 10.01.2006, 17:00

Also ich sehe folgende Möglichkeiten

- Du entwickelst ein eigenes Betriebsystem
- Dialer mit Benutzeranmeldung
- SmartCard oder sowas
- Fingerabdrucksensor

Gruß

sean

Beitrag von RW » 10.01.2006, 20:37

Thema User Kennung
Es gibt schon noch Alternativen für Linux Helden

https://www.ossp.org/pkg/lib/mm/

RW

Beitrag von **Babelfisch** » 10.01.2006, 21:54

RW hat geschrieben:Thema User Kennung
Es gibt schon noch Alternativen für Linux Helden

https://www.ossp.org/pkg/lib/mm/

Was hat eine Shared Memory Lib mit dem Thema zu tun?

Beitrag von RW » 11.01.2006, 08:40

HI

Was hat eine Shared Memory Lib mit dem Thema zu tun?

nix.

Dennoch ist es denkbar die Shared Memory für ein "eigenes Tracking" zu nutzen. Inwieweit das funktioniert kann ich nicht sagen da ich kein Beispiel kenne.

RW

Beitrag von **Babelfisch** » 11.01.2006, 10:44

RW hat geschrieben:Dennoch ist es denkbar die Shared Memory für ein "eigenes Tracking" zu nutzen. Inwieweit das funktioniert kann ich nicht sagen da ich kein Beispiel kenne.

Nö, da ist nichts denkbar. Mit Shared Memory können nur 2 Prozesse unter Linux Daten austauschen - mit User-Tracking hat das aber nichts zu tun und lässt sich auch nicht dafür verwenden.

Beitrag von **wolli** » 12.01.2006, 10:40

hi,

wir machen das über eine referer Prüfung

Ich denke es geht dir eigentlich um das Problem, dass wenn sich ein user
nicht ausloggt hat, die Seiten aus dem Browsercach von fremden
nochmals aufgerufen werden könnte. richtig ?

Wenn ja:

frägst du bei jedem Seitenaufruf mit php den referer ab
kommt der von deiner Seite, dann ist das ok
kommt der referer nicht von deiner Seite wurde die Seite von wo anderst aufgerufen.

Schlicht und einfach und wirkungsvoll

Beitrag von **Babelfisch** » 12.01.2006, 10:47

wolli hat geschrieben:wir machen das über eine referer Prüfung

Warum ist es schlecht, mit dem Referer zu arbeiten?

wolli hat geschrieben:Schlicht und einfach und wirkungsvoll

..., fehleranfällig, unsicher, ...

Beitrag von **wolli** » 12.01.2006, 11:02

babelfisch

fehleranfällig, unsicher ?!

es kommt darauf an von welcher Seite man es betrachtet

Wir sprechen doch hier von der Sicherung eines geschützten Bereiches!

Sicher?
In Kombination mit http-auth ist die referer Verwendung sicher!

Fehleranfällig ?
jeder nicht kastrierte Browser übergibt den referer
also kein Problem.

Und wird der referer doch nicht übergeben ?

Dann hat der User kein login
Was zur Sicherung des geschützten Bereiches beiträgt.

Also für diesen Zweck meiner Meinung nach bestens geignet

Beitrag von **marc75** » 12.01.2006, 11:18

jeder nicht kastrierte Browser übergibt den referer
also kein Problem.

das ist Quatsch, viele Firewalls unterdrücken diesen mittlerweile, und dies in der Grundeinstellung. Und da mittlerweile immer mehr Nutzer Firewalls etc. einsetzen....

Achja mein firefox Unterdrückt den referer auch.

Beitrag von **Babelfisch** » 12.01.2006, 11:20

wolli hat geschrieben:Wir sprechen doch hier von der Sicherung eines geschützten Bereiches!

Sicher?
In Kombination mit http-auth ist die referer Verwendung sicher!

Bei einer HTTP-Authentifizierung brauche ich keinen Referer überprüfen, da ich den Nutzer auch so zuverlässig erkenne. Weshalb sollte der Referer also zusätzliche Sicherheit bieten?

wolli hat geschrieben:Fehleranfällig ?
jeder nicht kastrierte Browser übergibt den referer

Du hast den Text hinter dem Link nicht gelesen. Da sind noch einige weitere Gründe aufgeführt, weshalb der Referer nicht übertragen wird. Erkläre dann mal einem Nutzer, warum er seinen lokalen Firewall deaktivieren soll, um die Sicherheit auf deiner Seite zu erhöhen.

wolli hat geschrieben:Und wird der referer doch nicht übergeben ?

Dann hat der User kein login

Genau, klein Login, frustrierter Nutzer, E-Mail, Anruft, Arbeit, trotzdem kein Umsatz.

wolli hat geschrieben:Was zur Sicherung des geschützten Bereiches beiträgt.

Welche Sicherung? Welche Sicherheit bietet dir ein String, der extrem leicht gefälscht werden kann und oftmals nicht vorhanden ist?

Beitrag von **tobsn** » 16.01.2006, 10:31

session in der url weiterschleifen.

https://{sessionid}.domain.tld/
https://{sessionid}.domain.tld/*/{sessionid}/

egal in welcher form.