Ergebnis 1 bis 10 von 10

Eine Frage an die Webentwickler... (aus dem TuS verschoben)

  1. #1 Zitieren
    Serima Avatar von Fisk2033
    Registriert seit
    Dec 2010
    Ort
    Dresden
    Beiträge
    5.802
    Hi zusammen,

    ich muss dazu sagen, dass ich sogut wie keine Ahnung von Webseiten, html,php usw usw habe...

    Welche Möglichkeiten gibt es, wenn ich Webseite A habe...sagen wir einen Kundenshop...dort angemeldete Benutzer sollen auf einen Link klicken können und auf Webseite B (wo ein Dokument liegt) zugreifen können. Allerdings halt nur, wenn sie sich im Kundenshop auch angemeldet haben. Ich denke Cookies wären für sowas geeignet? Gibt es noch andere Möglichkeiten? Nutzer, die Cookies nicht zulassen, wären damit ja schon mal raus.

    Danke..
    Fisk2033 ist offline

  2. #2 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Der User braucht eine Session in deinem Shop-System. Deine Download-Seite muss diese Session abfragen können und darauf basierend dann den DL gewähren oder eben nicht.

    Wie man solche Sessions anlegt, dafür gibts verschiedene Wege. Der bekannteste, und wohl auch praktikabelste, sind Cookies. Alle anderen Methoden sind oft leicht zu knacken und/oder funktionieren nur unter besonderen Voraussetzungen (z.B. Bindung an die Mac-Adresse funktioniert nicht in gerouteten Netzen).
    Lookbehind ist offline

  3. #3 Zitieren
    Serima Avatar von Fisk2033
    Registriert seit
    Dec 2010
    Ort
    Dresden
    Beiträge
    5.802
    Zitat Zitat von Lookbehind Beitrag anzeigen
    Der User braucht eine Session in deinem Shop-System. Deine Download-Seite muss diese Session abfragen können und darauf basierend dann den DL gewähren oder eben nicht.

    Wie man solche Sessions anlegt, dafür gibts verschiedene Wege. Der bekannteste, und wohl auch praktikabelste, sind Cookies. Alle anderen Methoden sind oft leicht zu knacken und/oder funktionieren nur unter besonderen Voraussetzungen (z.B. Bindung an die Mac-Adresse funktioniert nicht in gerouteten Netzen).
    Cookies waren bisher auch das einzige, was ich dazu gefunden habe / als passend empfinde. Dachte es gäbe vielleicht noch eine andere sehr verbreitete Methode (die ich noch nicht kenne, weil ich mich damit bisher nie auseinandergesetzt habe). Danke
    Fisk2033 ist offline

  4. #4 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Nunja, du könntest per $_POST oder $_GET die Session-ID mit geben. Das ist aber vergleichsweise unsicher. Wobei Cookies ohne https auch alles andere als Sicher sind.
    ... nicht dass das alles absolute Sicherheit implizieren würde. Aber für die meisten reichts.
    Lookbehind ist offline

  5. #5 Zitieren
    Serima Avatar von Fisk2033
    Registriert seit
    Dec 2010
    Ort
    Dresden
    Beiträge
    5.802
    Zitat Zitat von Lookbehind Beitrag anzeigen
    Nunja, du könntest per $_POST oder $_GET die Session-ID mit geben. Das ist aber vergleichsweise unsicher. Wobei Cookies ohne https auch alles andere als Sicher sind.
    ... nicht dass das alles absolute Sicherheit implizieren würde. Aber für die meisten reichts.
    Es sind im Endeffekt nur Sachen die einem Informationsblatt und einem Changelog ähnlich sind... nichts vertrauliches. Trotzdem möchten wir das nicht gern zugänglich für jeden machen.

    Fisk2033 ist offline

  6. #6 Zitieren
    Mythos Avatar von Pyrokar
    Registriert seit
    May 2004
    Ort
    ..... hihihähähä hier gibt es Wände und wenn ich dagegen Lauf prall ich ab, wie ein Flummi..... hihihähähääähääääää
    Beiträge
    8.115
    Zitat Zitat von Lookbehind Beitrag anzeigen
    Nunja, du könntest per $_POST oder $_GET die Session-ID mit geben. Das ist aber vergleichsweise unsicher.
    Naja, die einzige zusätzliche Unsicherheit dabei ist im Falle von GET-Requests (was für den Abruf eines Dokuments ja im Grunde auf der Hand liegt), die Session-ID direkt in der URL mit übergeben wird und somit sofort ersichtlich ist. Man könnte damit sicherlich irgendwas basteln, das wäre aus sicherheitstechnischer Perspektive bestimmt interessant, würde ich aber außerhalb von Experimenten nicht machen.

    Wobei Cookies ohne https auch alles andere als Sicher sind.
    ... nicht dass das alles absolute Sicherheit implizieren würde. Aber für die meisten reichts.
    Cookies sind auch mit https nicht sonderlich sicher. Klar, hausgebrauchssicher oder so. Aber Cookies sollten vom Server signiert sein, dann ist https theoretisch auch nicht mehr zwingend erforderlich (bzw. schon, aber aus anderen Gründen). Ich meine, dass in Cookies sowieso nie sensible Informationen stehen sollten (aber kann auch sein, dass es Fälle gibt, in denen es Sinn macht und ich die einfach nicht kenne - falls du was hast, wäre das interessant).

    Für so Sachen gibt es ja auch genug Unterstützung in den Web-Frameworks für die jeweiligen Sprachen. Es ist also eher keine Raketenwissenschaft, solche Sicherheitsmechanismen zu benutzen. Und imo grob fahrläßig, es aus Bequemlichkeit zu unterlassen.

    Cookies zu verlangen ist kein Unding, da würde ich mir gar keinen Kopp drum machen. Man muss sich überlegen, warum jemand von euch kein Cookie akzeptieren wollen sollte. Deine Anforderung betrifft ja eh nur Leute, die ein gewisses Vertrauen zu euch haben und ein Benutzerkonto anlegen, ihre Daten angeben um Dinge zu bestellen - das hat imo alles eine Höhere Vertrauenshürde als ein Cookie.
    [Bild: gg_schuetzen_ani.gif] | ~ DauJones ~ | ~ Klopfers-Web ~ | ~ German Bash ~ |
    Die meisten und schlimmsten Übel, die der Mensch dem Menschen zugefügt hat, entsprangen dem felsenfesten Glauben an die Richtigkeit falscher Überzeugungen.
    Bertrand Russell
    Religionskriege sind Konflikte zwischen erwachsenen Menschen, bei denen es darum geht, wer den cooleren, imaginaeren Freund hat. anonym
    Pyrokar ist offline

  7. #7 Zitieren
    Dea
    Registriert seit
    Jul 2007
    Beiträge
    10.446
    Zitat Zitat von Pyrokar Beitrag anzeigen
    Cookies sind auch mit https nicht sonderlich sicher. Klar, hausgebrauchssicher oder so. Aber Cookies sollten vom Server signiert sein, dann ist https theoretisch auch nicht mehr zwingend erforderlich (bzw. schon, aber aus anderen Gründen).
    Der Cookie enthält ja vermutlich ein Ticket, mit dem sich der User dann authentifiziert (gegenüber A und B) und das ein Verfallsdatum hat. D.h. da sollte zwar ein HMAC (warum eine Signatur?) dran, aber ohne TLS wird dir das Ticket dann ja trotzdem geklaut, weil man die SessionID an keine weitere Identität binden kann (in diesem Kontext ist die SessionID ja die Identität) Der HMAC ist logischerweise nur da, damit man sein Ticket nicht selber verlängern kann.
    Lehona ist offline

  8. #8 Zitieren
    Mythos Avatar von Pyrokar
    Registriert seit
    May 2004
    Ort
    ..... hihihähähä hier gibt es Wände und wenn ich dagegen Lauf prall ich ab, wie ein Flummi..... hihihähähääähääääää
    Beiträge
    8.115
    Zitat Zitat von Lehona Beitrag anzeigen
    Der Cookie enthält ja vermutlich ein Ticket, mit dem sich der User dann authentifiziert (gegenüber A und B) und das ein Verfallsdatum hat. D.h. da sollte zwar ein HMAC (warum eine Signatur?) dran, aber ohne TLS wird dir das Ticket dann ja trotzdem geklaut, weil man die SessionID an keine weitere Identität binden kann (in diesem Kontext ist die SessionID ja die Identität) Der HMAC ist logischerweise nur da, damit man sein Ticket nicht selber verlängern kann.
    Das ist in dem Fall doch synonym bzw. wäre HMAC eine Variante, die Signatur zu realisieren. Es ging mir darum, dass Integrität und Authentizität des Cookies nachweisbar sein sollen/müssen, das ist doch, was man ganz abstrakt unter digitalem Signieren versteht?!
    [Bild: gg_schuetzen_ani.gif] | ~ DauJones ~ | ~ Klopfers-Web ~ | ~ German Bash ~ |
    Die meisten und schlimmsten Übel, die der Mensch dem Menschen zugefügt hat, entsprangen dem felsenfesten Glauben an die Richtigkeit falscher Überzeugungen.
    Bertrand Russell
    Religionskriege sind Konflikte zwischen erwachsenen Menschen, bei denen es darum geht, wer den cooleren, imaginaeren Freund hat. anonym
    Pyrokar ist offline

  9. #9 Zitieren
    Dea
    Registriert seit
    Jul 2007
    Beiträge
    10.446
    Größtenteils schon, ich habe zugegeben an asymmetrische Signaturen gedacht, ein HMAC erfüllt natürlich eine ähnliche Aufgabe. Allerdings ist asymmetrische Krypto teuer (Performance) und da niemand die Signatur überprüfen muss (nur der Server selber) reicht dazu auch irgendwas symmetrisches.
    Digitale Signaturen beinhalten auch nicht-Zurückweißbarkeit, das ist hier natürlich ebenfalls nicht von Nöten.

    Im Endeffekt macht aber nur die Performance einen Unterschied. War ich vielleicht etwas zu skeptisch
    Lehona ist offline

  10. #10 Zitieren
    Demigod Avatar von Sumpfkrautjunkie
    Registriert seit
    Nov 2004
    Ort
    München
    Beiträge
    9.091
    Eventuell wäre OAuth 2.0
    http://oauth.net/2/
    https://www.digitalocean.com/communi...ion-to-oauth-2
    als Implementierung eine Option.

    Damit lagert man das Account Management zumindest aus (an Google, Facebook oder andere, die sowas anbieten) und muss sich nicht selber drum kümmern (wenn man deinen Server hackt, kriegt man keine User Passwörter).
    Auch muss der User sich keinen neuen Account anlegen und sich registrieren.

    Das arbeitet auch mit einem Token, der bei Requests mitgeschickt wird und ein Verfallsdatum hat.
    Sumpfkrautjunkie ist offline

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •