Suche: Loginsystem-Software

[sinfo]

Hi, ich verteidige den Artikel nicht. Mir kam (kommt) es jedoch so vor, als ob Du den Artikel nur überflogen, aber nicht gelesen hast. Ich kann hier aber auch falsch liegen. Dann entschuldige.

Ich denke, das der Artikel eine gute Lösung für die ursprüngliche Frage ist - mit Ausnahme der Implementierung einer Nutzerverwaltung durch einen Administrator.

Zu Sessions siehe Abschnitt "Authentifizierung und sessionbasierte Anwendungen"

Wo Du ggf. richtig liegst( mit cgi kenne ich mich nicht aus):
-> cgi vs. apache-modul

Wo Du m. E. falsch liegst
-> IP. Session können gekapert werden. Daher ist ein Abgleich der IP eine sinnvolle Möglichkeit dies zu prüfen.
-> Verschlüsselung von Passworten: Es werden verschiedene Möglichkeiten vorgestellt und diskutiert. Ist aber sicherlich nicht Kern des Artikels. Würde diesen auch sprengen.

[cortex]

wie ich einen artikel methodisch erfasse, ist zuerst einmal nebensächlich. ich habe mich in 5 punkten kritisch geäussert - und zwar in bezug auf den artikel. dass du mir nun zum 2. mal unterstellst, dass ich den artikel nicht (en detail) gelesen habe, ist der diskussion nicht zuträglich.

Zitat:

Zitat von sinfo

Zu Sessions siehe Abschnitt "Authentifizierung und sessionbasierte Anwendungen"

in diesem abschnitt gehts um formular-basierte authentifizierung, nicht um http-auth. sorry - ich habe den eindruck, du bist dir über die grundlegenden technischen unterschiede nicht im klaren. vielleicht ist das auch der grund, warum deine pro-argumente bisher eher dürftig waren.

Zitat:

Zitat von sinfo

mit cgi kenne ich mich nicht aus

brauchst du auch nicht. man muss nur wissen, dass sich http-auth und cgi nicht besonders gut vertragen.

Zitat:

Zitat von sinfo

Wo Du m. E. falsch liegst
-> IP. Session können gekapert werden. Daher ist ein Abgleich der IP eine sinnvolle Möglichkeit dies zu prüfen.

und wie gehts weiter? du machst einen spruch (dass ich falsch liege) und schiebst ohne weiteren bezug ein zitat aus dem artikel hinterher. junge, was soll das?

Zitat:

Zitat von sinfo

Verschlüsselung von Passworten: Es werden verschiedene Möglichkeiten vorgestellt und diskutiert.

ich habe DES als verschlüsselungsalgorithmus kritisiert - nicht mehr und nicht weniger.

einer fachlichen diskussion stehe ich weiterhin offen gegenüber. ansonsten erkläre ich das thema von meiner seite als beendet.

cx

[Thomas H.]

Nen guten Artikel über Session-Sicherheit hab ich hier
gefunden:
http://phpforum.de/forum/showthread.php?t=216531


Was haltet ihr von den Pear-Packages?
Sind die sicher?
Dort gebs ein Package PEAR::LiveUser was die Arbeit
leichter machen würde, wenn es die nötige Sicherheit
bietet

danke
Thomas