Zitat von "webmaster3000"Ja, der Username ist "adenauer".
Und ja, die Usernamen sollen angezeigt werden, aber wenn es sicherer wäre, sie nicht auszulesen, würde ich das ändern.
Dann wäre es doch merh als ein einfaches mich mit Fremdem Account einzuloggen. Ich brauche nicht mal das Passwort sondern muss einfach nur den Richtigen Cookie mitsenden und die Welt steht mir offen.
Und so etwas ist eines der ersten Sachen die jemand der versuchen würde Sicherheitslücken zu finden, ausprobieren würde (weil es halt leider recht viele gibt die so etwas machen).
Zitat von "webmaster3000"Außerdem habe ich md5 verwendet, was in anderen Threads schon empfohlen wurde.
Ich habe immer gesagt das du einen Salt verwenden sollst.
Hat den Vorteil, dass ich so halt nicht einfach den Usernamen kennen muss, sondern den Salt ebenfalls brauche.
Oder aber ich probiere so lange herum bis ich einen identischen md5-Wert generiert bekomme.
Zitat von "webmaster3000"Davo abgesehen glaube ich nicht, dass es hier relevant ist, wass ich mir da zusammenschreibe.
Wie du siehst schon.
In einer Community ist es Standard, dass Benutzernamen angezeigt werden. In einem einfachen Loginbereich, in dem du mit deinen Freunden irgendetwas teilen möchtest würden diese nicht angezeigt.
Zitat von "webmaster3000"Welche Verschlüsselung würdest du denn nehmen?
MD5 mit einem Salt reicht aus.
Zitat von "webmaster3000"Soll ich das "gehashte" Passwort auch noch als Cookie speichern?
Wenn du einen Salt verwendest kannst du das machen.. Anderer Vorschlag:
Du erzeugst eine einzigartige ID die du auch in die Datenbank einträgst und als Cookie versendest (und als Session-Id verwendest). In der Session speicherst du zusätzlich noch den User-Agent.
Den natürlich:
Zitat von "webmaster3000"und *erraten* kann man die Daten immer, da kannste verschlüsseln, biste dumm und dämlich bist.
Aber wir können es bösen Menschen so schwer wie Möglich machen :wink: