Webseiten-Zugangs-Schutz durch Cookie statt Passwort

[maerz07032010]

Hallo,

ich möchte den Zugang zu einer Webseite nur registrierten Anwendern ermöglichen.

Wenn sich die Mitglieder mit Emailadresse und Passwort einloggen können, besteht die "Gefahr", dass die Mitglieder ihre Zugangsdaten einfach weitergeben.

Als Ausweg fiel mir folgendes ein: Beim ersten Einloggen mit Emailadresse und Passwort wird auf unserem Server eine Nummer für diesen User generiert, die auf unserem Server und per Cookie auf dem Computer des Users abgespeichert wird.

Wenn sich der User dann das nächste Mal anmeldet, kann überprüft werden, ob es das Cookie auf seinem Computer gibt - wenn nicht kann er sich nicht einloggen.

Ist das so technisch umsetzbar? Ist das für einen Profi leicht oder schwer programmierbar? Gibt es bessere Lösungen?

Ich bin für Hinweise sehr dankbar.

 

[pdelvo]

Diese Lösung ist nicht vertretbar. Was ist wenn er seine Cookies einmal löschen will? dann kann er sich nicht mehr anmelden. Oder er will einmal von einem anderen Rechner auf ihn zugreifen. Was mir einfallen würde dein account für einen tag oder so zu sperren wenn zwei Browser gleichzeitig zugreifen. Diese "Strafe" würde abschreckend wirken die Daten weiterzugeben. Sonst fällt mir dazu jetzt nix ein

 

[ChiefAlex]

Der Cookie kann fast genauso leicht wie Nutzername+Password weitergegeben werden.
Was pdelvo sagt ist völlig richtig. Cookies sind NICHT zur sicheren Authentifizierung geeignet, sie sind immer optional.
Was für Websites sind das denn, wenn du Angst hast, dass Zugangsdaten weitergegeben werden wenn ich fragen darf? 😀

 

[maerz07032010]

Hallo,

das Abspreichern der generierten Nummer muss nicht über ein Cookie erfolgen, es könnte auch ein kleines Programm mit der Nummer auf dem Computer des Users gespeichert werden. Das würde dann nicht beim Löschen der Cookies ausversehen gelöscht werden.

Das Anmelden ginge bei meinem Vorschlag in der Tat nur von dem einen Computer - ist ein Nachteil. Aber ich würde eben gerne verhindern, dass jemand das Passwort immer weitergeben kann.

Ich kann mir nicht vorstellen, dass Laien das Cookie wirklich einfach so weitergeben können. Ich persönlich wüsste zumindest nicht, wie das geht.

Aber ich bin ja auch offen für andere Lösungen. Hat jemand eine Idee?

 

[pixelflat]

Wie schon gesagt sind Cookies dafür einfach nicht gedacht. Es reicht u.U. schon ein Browser Update oder Wechsel und die Cookies sind gelöscht (je nach Browser). Außerdem gibt es auch Möglichkeiten das Cookie einfach zu klauen (zB per XSS).

Wenn du Root-Zugriff hast (und nicht nur irgendeinen Webspace) könnte man das ganze sehr sicher mit SSL und Zertifikaten machen. Schau dir dazu mal folgendes PDF an:

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

:shift:

 

[maerz07032010]

Hallo pixelflat,

vielen Dank für den Tipp. Ich konnte die PDF-Datei zwar nicht verstehen, aber ich rufe mal bei der Firma an und frage mal nach. Oder vielleicht kannst du noch mal kurz für einen Laien (!) erklären, wie das funktioniert.

 

[pixelflat]

Wenn du noch nie mit SSL-Zertifikaten gearbeitet, geschweige denn die Apache-Config bearbeitest hast, könnte das für dich schon relativ schwer werden. Auch ich müsste dafür vermutlich ein paar Stunden Arbeit investieren...

Im Grunde musst du dafür weder bei der Firma anrufen, noch irgendein Zertifikat kaufen. Diese kann man auch mit OpenSSL kostenlos erstellen (sind dann zwar nicht ganz "offiziell" und müssen vom Benutzer das erste Mal explizit akzeptiert werden, aber sie funktionieren genauso). SSL Zertifikate kosten nämlich u.U. einen ganzen Batzen Geld.

Zuerst solltest du die Voraussetzungen prüfen: hast du Root-Zugriff auf den Server und läuft auf dem auch Apache?

Edit: Das Ganze ist übrigens keineswegs eine Erfindung von "a-Trust". Falls du kein Problem mit Englisch hast, gibts noch ein paar weitere Tutorials:

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

 

[maerz07032010]

Hallo pixelflat,

ich rieche eine Lösung für mein Problem, verstehe aber nur Bahnhof und will das auch nicht selber programmieren, sondern die Webseite später von einem Profi machen lassen.

Wenns zeitlich passt: Kannst du die Sache noch mal für einen LAIEN (!!!!!!!!!!!!) erklären?

Und mir vielleicht deine Emailadresse mailen (an [email protected])?

Thx

 

[pixelflat]

Kurz gesagt: Auf dem Server wird ein Zertifikat erstellt. Dann wird für jeden Benutzer ein Zertifikat erstellt, dass zB den Namen oder eine ID enthält, und mit dem ersten Zertifikat signiert wird. Der Server überprüft dann ob der Besucher so ein Zertifikat verwendet. Ist das nicht der Fall wird nur eine Fehlermeldung ausgegeben (

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

) und der Zugriff verweigert.

Das Zertifikat muss im Browser des Benutzers importiert werden, wobei ein Passwort nötig ist (welches beim Erstellen angegeben wird). Du musst also jedem Benutzer diese Datei und ein Passwort zukommen lassen (im Optimalfall nicht beides in zB der selben Email). Einmal im Browser importiert, muss der Benutzer dann nur noch das Benutzen des Zertifikats beim Aufruf der Seite erlauben (siehe weitere Bilder auf der Seite).

Die Zertifikate müssen dabei erst mal manuell erstellt werden, macht also nur bei wenigen Benutzern Sinn. Wenn du mehrere Leute so authentifizieren willst kommt nur ein automatischer Prozess in Frage. Allerdings musst du bedenken, dass solche Verschlüsselungs-Prozesse auf dem Server relativ hohe Last verursachen.

Support per PM / eMail / ICQ mache ich eigentlich nicht. Dafür ist ja das Forum da.