PHPAC Passwortmethodik: Verbesserung
Thomas Berger
ThB at gymel.com
Do Nov 28 10:18:18 CET 2002
Lieber Herr Eversberg,
> Bei der ersten Schreibaktion waere, wie bisher, das Passwort
> einzugeben. Ein zusaetzliches Eingabefeld wuerde angeboten, mit
> dem man sich fuer den Rest des Tages eine individuelle Kurzkennung
> geben koennte (aber nicht muesste). Bei weiteren Schreibaktionen am selben Tage
> haette man nur diese anzugeben. Das System ergaenzt diese zur IP incl. Datum und
> weiss fortan (fuer den Rest des Tages), dass die Schreibanforderung berechtigt
> ist. Die Kurzkennung wuerde also, falls eingegeben, die IP-Nummer
> ergaenzen. Jeder hat es dann in der Hand, den Missbrauch seiner
> moeglicherweise nicht eindeutigen IP zu verhindern. Fuer die
> Kurzkennung sollten zwei Zeichen (Buchstaben+Ziffern) reichen,
> damit waere die Sache immer noch bequemer, als wenn man jedesmal
> das Passwort eingeben muesste.
Ich moechte zu bedenken geben, dass HTTP "Sitzungslos"
ist und dass ich als t-online-Benutzer, der die t-online-
Proxies benutzt (oder als aol-Benutzer, der m.W. die
Proxies seines Onlinedienst benutzen muss), typischerweise
im Sekundentakt wechselnde IP-Nummern habe (benutze
ich den Proxy nicht, so habe ich nur von Einwahl zu
Einwahl wechselnde IP-Nummern).
Nach meiner Erfahrung lassen sich IP-Nummern nur so
verwenden, dass man den Kreis der Nutzer, die ueberhaupt
in der Lage sind, sich anzumelden, a priori beschraenkt,
etwa auf das eigene lokale Netzwerk. Fuer die Identifikation
eines Nutzers (oder die Re-Identifikation im Sinne einer
"Session") sind sie ziemlich unbrauchbar.
Vermutlich wollen Sie aber nicht den PHPAC-Anwendern
Anleitungen fuer die 20 gaengigsten Internetserver
mitgeben, wie sie diese so konfigurieren, dass der
Internetserver "Sessions" verwaltet, also muss
phpac das in Ansaetzen selbst tun. Weil phpac ja
beim Benutzer voraussetzt, dass sie/er JavaScript
aktiviert hat, sehe ich keine Probleme mit dem
Einsatz von Cookies: Das Cookie sollte so eingestellt
sein, dass es mit Schliessen des Browsers verloren
geht, phpac koennte zusaetzlich das Cookie wieder
loeschen bzw. ein Relogin anfordern, wenn "damit" in den
letzten 30 Minuten keine Schreiboperation erfolgt ist
(und einen "Logout"-Schirm anbieten).
Der Inhalt des Cookies sollte nicht sein "ist autorisiert",
sondern den Benutzernamen enthalten sowie eine Information,
die auf anfangs vom Benutzer angegebenen Password beruht
plus auf weiteren, moeglichst kurzlebigen Eigentuemlichkeiten,
z.B. dem Tagesdatum: So ist ausgeschlossen, dass jemand, der
es doch schafft, das Cookie auszuspaehen, die daraus
gewonnene Information 1:1 benutzen kann, um sich zu
einem beliebigen spaeteren Zeitpunkt mit gefaelschter
Identitaet beim System anzumelden. (Das ist alles noch
nicht besonders sicher, dazu muesste phpac eine
Zufallszahl als Sitzungskennung genererieren und die
ueberall mit hineincodieren, das erfordert aber eine
Zusatzdatenbank, in der die gerade gueltigen Sitzungs-
kennungen und ihre Lebensdauern verwaltet werden).
viele Gruesse
Thomas Berger
Mehr Informationen über die Mailingliste Allegro