[ASP] Login - Sicherheit

Hussl · 03.02.2002, 22:11

Hallo,

würde gerne eure Meinung zu der wahrscheinlichen Sicherheit der folgenden Login-Prozedur hören: (Verbindung ist SSL-Gesichert)

1. Benutzer muss das Login-Formular mit UserNamen und Passwort ausfüllen.
2. Login erfolgreich: UID (UserID) aus zufällig gewählten Zahlen und Buchstaben sowie eine SID (SessionID) aus 9-stelliger Zufallszahl, IP, (Server)SessionID (die man mit Session.SessionID bekommt) und der Zeit. (so ähnlich wie: http://www.aspheute.com/artikel/20010601.htm)
3. Diese UID und SID wird in der Datenbank gespeichert und per QueryString jeder Seite übergeben.
4. Auf jeder Seite prüfe ich den QueryString mit der Datenbank-Anfrage.

Ich glaube, dass ich hier den Vorteil habe, dass ich nicht den Benutzernamen oder gar das Passwort in einem Session-Objekt speichern muss, um den User zu identifizieren. Auch Manipulationen im QueryString bringen nicht viel, da beides (SID und UID) bei jedem erneutem Login generiert wird.

Was mir allerdings ein wenig Kopfzerbrechen bereitet ist, dass wenn sich der User nicht über einen Logout-Button (bei dem die Datenbankeinträge wieder gelöscht werden), jeder x-beliebige auf die Seite zugreifen kann, da der QueryString in der History gespeichert und nicht wie beim Session-Objekt zeitlich begrenzt ist.

Als Lösung habe ich mir vorgestellt, die Loginzeit ebenfalls in der Datenbank zu speichern, diese bei jeder Überprüfung der SID und UID auch abzufragen und wenn ein bestimmter Zeitintervall abgelaufen ist, den Zugriff zu verweigern. Leider taucht hier wieder das nächste Problem auf, da logischerweise eine Sitzung länger als die Zeit, die ich überprüfe, dauern kann. Und es sieht blöd aus, wenn ein Benutzer auf eine andere Seite springt und plötzlich keine Berechtigungen mehr hat, weil er zu lange auf der Seite war.

Wer noch Anregungen, Fragen, Beschwerden o.ä. hat, der möge sich bitte bei mir melden ;-)

MfG
Hussl

Flink · 04.02.2002, 12:04

Zitat:

Original geschrieben von Hussl
Als Lösung habe ich mir vorgestellt, die Loginzeit ebenfalls in der Datenbank zu speichern, diese bei jeder Überprüfung der SID und UID auch abzufragen und wenn ein bestimmter Zeitintervall abgelaufen ist, den Zugriff zu verweigern. Leider taucht hier wieder das nächste Problem auf, da logischerweise eine Sitzung länger als die Zeit, die ich überprüfe, dauern kann. Und es sieht blöd aus, wenn ein Benutzer auf eine andere Seite springt und plötzlich keine Berechtigungen mehr hat, weil er zu lange auf der Seite war.

Du könntest doch nach der Loginzeit den Zeitpunkt des letzten Zugriffs über SID und UID in der DB speichern. Erst wenn einer zulange nichts auf einer Seite getan hat, wird er aus dem System hinausgeschmissen, und seine SID und UID sind gesperrt.

03.02.2002, 22:11	#1
Hussl Veteran Registriert seit: 08.02.2001 Alter: 41 Beiträge: 320	[ASP] Login - Sicherheit Hallo, würde gerne eure Meinung zu der wahrscheinlichen Sicherheit der folgenden Login-Prozedur hören: (Verbindung ist SSL-Gesichert) 1. Benutzer muss das Login-Formular mit UserNamen und Passwort ausfüllen. 2. Login erfolgreich: UID (UserID) aus zufällig gewählten Zahlen und Buchstaben sowie eine SID (SessionID) aus 9-stelliger Zufallszahl, IP, (Server)SessionID (die man mit Session.SessionID bekommt) und der Zeit. (so ähnlich wie: http://www.aspheute.com/artikel/20010601.htm) 3. Diese UID und SID wird in der Datenbank gespeichert und per QueryString jeder Seite übergeben. 4. Auf jeder Seite prüfe ich den QueryString mit der Datenbank-Anfrage. Ich glaube, dass ich hier den Vorteil habe, dass ich nicht den Benutzernamen oder gar das Passwort in einem Session-Objekt speichern muss, um den User zu identifizieren. Auch Manipulationen im QueryString bringen nicht viel, da beides (SID und UID) bei jedem erneutem Login generiert wird. Was mir allerdings ein wenig Kopfzerbrechen bereitet ist, dass wenn sich der User nicht über einen Logout-Button (bei dem die Datenbankeinträge wieder gelöscht werden), jeder x-beliebige auf die Seite zugreifen kann, da der QueryString in der History gespeichert und nicht wie beim Session-Objekt zeitlich begrenzt ist. Als Lösung habe ich mir vorgestellt, die Loginzeit ebenfalls in der Datenbank zu speichern, diese bei jeder Überprüfung der SID und UID auch abzufragen und wenn ein bestimmter Zeitintervall abgelaufen ist, den Zugriff zu verweigern. Leider taucht hier wieder das nächste Problem auf, da logischerweise eine Sitzung länger als die Zeit, die ich überprüfe, dauern kann. Und es sieht blöd aus, wenn ein Benutzer auf eine andere Seite springt und plötzlich keine Berechtigungen mehr hat, weil er zu lange auf der Seite war. Wer noch Anregungen, Fragen, Beschwerden o.ä. hat, der möge sich bitte bei mir melden ;-) MfG Hussl ____________________________________ Nein, ich bin nicht die Signatur, ich putz hier nur. http://www.chili-it.at

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)