Ich habe mich schon länger nicht mehr mit PHP-Sessions und solchen Techniken beschäftigt. Jetzt will ich für eine Reihe PHP-Seiten ein Zugangssicherung aufbauen. Bei den Seiten kann man sich ein CMS-Interface oder ein Forum vorstellen. Nun ist der Inhalt aber streng vertraulich und sollte unter keinen Umständen in falsche Hände geraten und daher möchte ich das ganze mit einen vernünftigen Zugangsschutz und natürlich auch logging ausstatten (wer macht was wann, etc.). Selbstverständlich ist es nicht sonderlich kompliziert einen einfach Zugangsschutz in PHP (evtl. auch mit Sessions) zu implementieren aber das ganze sollte möglichst sicher sein und daher würde ich gerne angesehene Methoden verwenden. Gibt es irgendwo Hintergrundinformationen zu diesem Thema die deutlich über die Erklärung der PHP-Sessions auf php.net hinausgeht?

Hallo,

dazu gibt es Pear Auth
doku unter: http://pear.php.net/manual/de/packages.auth.auth.php
Pear Auth ist bei neueren PHP-Versionen mit installiert. Sonst unter: http://pear.php.net/package-info.php?pacid=2 saugen.

Oder: phpSecurityAdmin ist eine Klasse für ein Benutzer auth/management system. Kann eigentlich alles was das Herz begehrt ist aber nicht ganz trivial.
URL: http://sourceforge.net/projects/phpsecurityadm


Offe

Hi,

ich weiß zwar nix zu bestimmten Quellen. Aber ich frage einfach mal so in meiner naiven Art: Wie wäre es mit den Standard-Sessions? Zusätzlich könnte das ganze dann über SSL gesichert werden. D.h. wie beim Online-Banking komme ich in diesen Bereich nur über SSL. Damit ist die Kommunikation gesichert und alles darüber kann ganz normal wie gehabt ablaufen.
Was natürlich beim Login sinnvoll ist, dass für die Login-Daten selbst nur sichere Werte möglich sind. Aber da erzähle ich ja sicher nix neues, oder?

Pingu

Hallo!

Ein ganz netter Thread zu diesem Thema:
http://www.mrunix.de/forums/showthread.php?threadid=30843&highlight=login

Benutz auch mal die Forumssuche, da wirst du noch einiges finden.

Gestern wollte ich meine Daten auf einem
externen Server sichern und habe auf
dem Serverrechner etwas herumgespielt, da ich nicht so
genau wußte, wo die Verzeichisse liegen.

Dabei konnte ich munter die Loginnamen und
Passwörter aller Teilnehmerim im Klartext lesen.
Es wäre überhaupt kein Problem alles aufzuschreiben,
die fremden Daten zu zerstören und
sie auf meinem Rechner zu speichern.

Der Rechner gilt als sicher !!!!!!

Für mich haben wirklich heikle Daten auf einem
externen Server nichts verloren.

Wenn der Server als sicher gilt, heisst das noch lange nicht, dass Du Dich um Deine Pflicht gekümmert hast, Deine eigenen Daten abzusichern.

Solange die einzelnen Verzeichnisse nicht zum Beispiel durch eine einelne index.php gesperrt sind, ist ja jedes Verzeichnis schonmal blank anzeigbar.

Original geschrieben von darkmoon.2xt.de
Wenn der Server als sicher gilt, heisst das noch lange nicht, dass Du Dich um Deine Pflicht gekümmert hast, Deine eigenen Daten abzusichern.

Da hast du sicherlich recht...

Original geschrieben von darkmoon.2xt.de
Solange die einzelnen Verzeichnisse nicht zum Beispiel durch eine einelne index.php gesperrt sind, ist ja jedes Verzeichnis schonmal blank anzeigbar.
Das kommt drauf an, wie du deinen Apache konfiguriert hast... bei mir gibts statt nem Verzeichnislisting standardmäßig nur einen 403 - Access Denied zurück.
Abgesehen davon sollte es aber nichts ausmachen das Verzeichnis anzuzeigen, denn Daten die geschützt werden müssen, wie z.B. Passwort Files, haben generell nichts im Document Root des Webservers verloren.