/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
kommentarer til login system
Fra : Bo Rattenborg Jørgen~


Dato : 18-09-01 22:30

Jeg roder lidt med et login-system via PHP/MySQL

Jeg har tænkt mig at gøre følgende:

En tabel 'profiler' inderholder profiler med brugernavne og passwords
En tabel 'profiler_logget_ind' indeholder de brugere der er logget ind.

Når en bruger logger ind tjekkes dennes brugernavn og password via tabellen
'profiler', hvis disse er rigtige gemmes brugerens id og password fra
tabellen 'profiler' i tabellen 'profiler_logget_ind' sammen med et
tidspunkt. Desuden gemmes brugerens id samt md5(password) i en cookie.

Nu er brugeren så logget ind.

De sider der så kræver at brugeren er logget ind, tjekker om oplysningerne
fra cookien findes i tabellen 'profiles_logget_ind'.

Når en bruger har været logget ind i f.eks. 30 min. slettes denne automatisk
fra tabellen 'profiles_logget_ind'.

Når en bruger vælger at logge ud slettes denne fra tabellen
'profiles_logget_ind'.

Jeg vil gerne høre om Jeres mening om ovenstående, om der er noget der bør
gøres anderledes og om der er en anden og bedre løsning.


Med venlig hilsen
Bo Rattenborg



 
 
Mickey (18-09-2001)
Kommentar
Fra : Mickey


Dato : 18-09-01 23:01

"Bo Rattenborg Jørgensen" <bo.rattenborg@[no spam]mail.dk> skrev i en
meddelelse news:3ba7bc8f$0$4791$ba624c82@nntp01.dk.telia.net...

> Når en bruger har været logget ind i f.eks. 30 min. slettes denne
automatisk
> fra tabellen 'profiles_logget_ind'.

¨det er jo ikke så smart hvis brugeren er aktiv i 45 min, så bliver han
logget ud efter 30 og skal logge ind igen..

- en slags idle-timout ville være bedre


--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html



Bo Rattenborg Jørgen~ (19-09-2001)
Kommentar
Fra : Bo Rattenborg Jørgen~


Dato : 19-09-01 07:52


"Mickey" <news002@susie.dk> wrote in message
news:9o8gfb$d6v$1@egon.worldonline.dk...
> "Bo Rattenborg Jørgensen" <bo.rattenborg@[no spam]mail.dk> skrev i en
> meddelelse news:3ba7bc8f$0$4791$ba624c82@nntp01.dk.telia.net...
>
> > Når en bruger har været logget ind i f.eks. 30 min. slettes denne
> automatisk
> > fra tabellen 'profiles_logget_ind'.
>
> ¨det er jo ikke så smart hvis brugeren er aktiv i 45 min, så bliver han
> logget ud efter 30 og skal logge ind igen..
>
> - en slags idle-timout ville være bedre

Altså hver gang en bruger aktiverer noget på siden så opdateres denne
brugers time i tabellen 'profile_logget_ind' ?

Bo



Mickey (19-09-2001)
Kommentar
Fra : Mickey


Dato : 19-09-01 15:23

"Bo Rattenborg Jørgensen" <bo.rattenborg@[no spam]mail.dk> skrev i en
meddelelse news:3ba8402e$0$14820

> Altså hver gang en bruger aktiverer noget på siden så opdateres denne
> brugers time i tabellen 'profile_logget_ind' ?

ja - på den måde risikerer du ikke at en der er logget ind bliver smidt ud
pga. tidsgrænsen


--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html



Bo Rattenborg Jørgen~ (19-09-2001)
Kommentar
Fra : Bo Rattenborg Jørgen~


Dato : 19-09-01 16:00

> > Altså hver gang en bruger aktiverer noget på siden så opdateres denne
> > brugers time i tabellen 'profile_logget_ind' ?
>
> ja - på den måde risikerer du ikke at en der er logget ind bliver smidt ud
> pga. tidsgrænsen

Hvad mener du / I om sikkerheden ? er der nogle problemer ?

Det største problem er vel at brugernavn og password ikke er krypteret når
de sendes men er det et reel problem ?

Bo



Simon Mikkelsen (20-09-2001)
Kommentar
Fra : Simon Mikkelsen


Dato : 20-09-01 15:38

D. Wed, 19 Sep 2001 17:00:19 +0200 syntes "Bo Rattenborg Jørgensen"
<bo.rattenborg@[no spam]mail.dk> at
dk.edb.internet.webdesign.serverside.php skulle vide at
<3ba8b29c$0$4795$ba624c82@nntp01.dk.telia.net>.

>> > Altså hver gang en bruger aktiverer noget på siden så opdateres denne
>> > brugers time i tabellen 'profile_logget_ind' ?
>>
>> ja - på den måde risikerer du ikke at en der er logget ind bliver smidt ud
>> pga. tidsgrænsen
>
>Hvad mener du / I om sikkerheden ? er der nogle problemer ?

Jeg kan ikke se nogle umiddelbart, men det afhænger jo også lidt af hvordan
koden kommer til at se ud

>Det største problem er vel at brugernavn og password ikke er krypteret når
>de sendes men er det et reel problem ?

Det afhænger af mange ting, bl.a. af det ønskede sikkerhedsniveau - det er
jo ikke for sjov at man normalt bruger https til at sende
dankortoplysninger, homebanking ol.

Det ville naturligvis være bedst, hvis folk skrev brugernavn og kodeord,
disse blev 1024-bit krypteret af fx. et javascript, og sendt til dit log-in
script via https, men det vil jo være ret besværligt at lave, og hvis det
fx. bare er et login til et brugerforum, er det efter min mening
overdrevet.

Men beslut hvilket sikkerhedsniveau du ønsker, hvilken interesse vil andre
have i at bruge en masse tid på at opsniffe en af dine brugeres kodeord,
hvad vil konsekvensen af en sådan opsnifning være ol.

Hvis risikoen for at det sker er 1:10000000 og der stort set ikke vil ske
noget ved et misbrug, er det nok ikke det værd at køre det store artelleri
i stilling.
--
Mvh. Simon Mikkelsen, ingeniørstuderende

www.zipstat.dk Gratis, reklamefri tæller/statistik til enhver hjemmeside
-Se bla. hvor dine besøgende kommer fra, og brug den usynlige tællerkode.

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408868
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste