Kandu.dk - kommentarer til login system


/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

PHP

#	Navn	Point
1	rfh	3959
2	natmaden	3372
3	poul_from	3310
4	funbreak	2700
5	stone47	2230
6	Jin2k	1960
7	Angband	1743
8	Bjerner	1249
9	refi	1185
10	Interkril..	1146

kommentarer til login system
Fra : Bo Rattenborg Jørgen~

Dato : 18-09-01 22:30

Jeg roder lidt med et login-system via PHP/MySQL

Jeg har tænkt mig at gøre følgende:

En tabel 'profiler' inderholder profiler med brugernavne og passwords
En tabel 'profiler_logget_ind' indeholder de brugere der er logget ind.

Når en bruger logger ind tjekkes dennes brugernavn og password via tabellen
'profiler', hvis disse er rigtige gemmes brugerens id og password fra
tabellen 'profiler' i tabellen 'profiler_logget_ind' sammen med et
tidspunkt. Desuden gemmes brugerens id samt md5(password) i en cookie.

Nu er brugeren så logget ind.

De sider der så kræver at brugeren er logget ind, tjekker om oplysningerne
fra cookien findes i tabellen 'profiles_logget_ind'.

Når en bruger har været logget ind i f.eks. 30 min. slettes denne automatisk
fra tabellen 'profiles_logget_ind'.

Når en bruger vælger at logge ud slettes denne fra tabellen
'profiles_logget_ind'.

Jeg vil gerne høre om Jeres mening om ovenstående, om der er noget der bør
gøres anderledes og om der er en anden og bedre løsning.

Med venlig hilsen
Bo Rattenborg

Mickey (18-09-2001)

Kommentar
Fra : Mickey

Dato : 18-09-01 23:01

"Bo Rattenborg Jørgensen" <bo.rattenborg@[no spam]mail.dk> skrev i en
meddelelse news:3ba7bc8f$0$4791$ba624c82@nntp01.dk.telia.net...

> Når en bruger har været logget ind i f.eks. 30 min. slettes denne
automatisk
> fra tabellen 'profiles_logget_ind'.

¨det er jo ikke så smart hvis brugeren er aktiv i 45 min, så bliver han
logget ud efter 30 og skal logge ind igen..

- en slags idle-timout ville være bedre

--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html

Bo Rattenborg Jørgen~ (19-09-2001)

Kommentar
Fra : Bo Rattenborg Jørgen~

Dato : 19-09-01 07:52

"Mickey" <news002@susie.dk> wrote in message
news:9o8gfb$d6v$1@egon.worldonline.dk...
> "Bo Rattenborg Jørgensen" <bo.rattenborg@[no spam]mail.dk> skrev i en
> meddelelse news:3ba7bc8f$0$4791$ba624c82@nntp01.dk.telia.net...
>
> > Når en bruger har været logget ind i f.eks. 30 min. slettes denne
> automatisk
> > fra tabellen 'profiles_logget_ind'.
>
> ¨det er jo ikke så smart hvis brugeren er aktiv i 45 min, så bliver han
> logget ud efter 30 og skal logge ind igen..
>
> - en slags idle-timout ville være bedre

Altså hver gang en bruger aktiverer noget på siden så opdateres denne
brugers time i tabellen 'profile_logget_ind' ?

Bo

Mickey (19-09-2001)

Kommentar
Fra : Mickey

Dato : 19-09-01 15:23

"Bo Rattenborg Jørgensen" <bo.rattenborg@[no spam]mail.dk> skrev i en
meddelelse news:3ba8402e$0$14820

> Altså hver gang en bruger aktiverer noget på siden så opdateres denne
> brugers time i tabellen 'profile_logget_ind' ?

ja - på den måde risikerer du ikke at en der er logget ind bliver smidt ud
pga. tidsgrænsen

--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html

Bo Rattenborg Jørgen~ (19-09-2001)

Kommentar
Fra : Bo Rattenborg Jørgen~

Dato : 19-09-01 16:00

> > Altså hver gang en bruger aktiverer noget på siden så opdateres denne
> > brugers time i tabellen 'profile_logget_ind' ?
>
> ja - på den måde risikerer du ikke at en der er logget ind bliver smidt ud
> pga. tidsgrænsen

Hvad mener du / I om sikkerheden ? er der nogle problemer ?

Det største problem er vel at brugernavn og password ikke er krypteret når
de sendes men er det et reel problem ?

Bo

Simon Mikkelsen (20-09-2001)

Kommentar
Fra : Simon Mikkelsen

Dato : 20-09-01 15:38

D. Wed, 19 Sep 2001 17:00:19 +0200 syntes "Bo Rattenborg Jørgensen"
<bo.rattenborg@[no spam]mail.dk> at
dk.edb.internet.webdesign.serverside.php skulle vide at
<3ba8b29c$0$4795$ba624c82@nntp01.dk.telia.net>.

>> > Altså hver gang en bruger aktiverer noget på siden så opdateres denne
>> > brugers time i tabellen 'profile_logget_ind' ?
>>
>> ja - på den måde risikerer du ikke at en der er logget ind bliver smidt ud
>> pga. tidsgrænsen
>
>Hvad mener du / I om sikkerheden ? er der nogle problemer ?

Jeg kan ikke se nogle umiddelbart, men det afhænger jo også lidt af hvordan
koden kommer til at se ud Glad

>Det største problem er vel at brugernavn og password ikke er krypteret når
>de sendes men er det et reel problem ?

Det afhænger af mange ting, bl.a. af det ønskede sikkerhedsniveau - det er
jo ikke for sjov at man normalt bruger https til at sende
dankortoplysninger, homebanking ol.

Det ville naturligvis være bedst, hvis folk skrev brugernavn og kodeord,
disse blev 1024-bit krypteret af fx. et javascript, og sendt til dit log-in
script via https, men det vil jo være ret besværligt at lave, og hvis det
fx. bare er et login til et brugerforum, er det efter min mening
overdrevet.

Men beslut hvilket sikkerhedsniveau du ønsker, hvilken interesse vil andre
have i at bruge en masse tid på at opsniffe en af dine brugeres kodeord,
hvad vil konsekvensen af en sådan opsnifning være ol.

Hvis risikoen for at det sker er 1:10000000 og der stort set ikke vil ske
noget ved et misbrug, er det nok ikke det værd at køre det store artelleri
i stilling.
--
Mvh. Simon Mikkelsen, ingeniørstuderende

www.zipstat.dk Gratis, reklamefri tæller/statistik til enhver hjemmeside
-Se bla. hvor dine besøgende kommer fra, og brug den usynlige tællerkode.

Søg

Reklame

Statistik

Spørgsmål :	177556
Tips :	31968
Nyheder :	719565
Indlæg :	6408866
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste