Benachrichtigung Gerade eben.

      Programmierung

      HTML/XHTML, PHP/MySQL, CSS, C++, Perl, Basic & Co

      Sicheres Loginsystem - PHP

      Erstellt am: , Letzte Antwort: 5. August 2019 21:51

      Sicheres Loginsystem - PHP

      Daart
      am 21.04.2019 07:33
      von  Daart  am
      Worauf kommt es bei einem sicheren Login in PHP an?

      Welche Zusatzfunktionen können genutzt werden?

      Kennt ihr eine gute Seite, die auch "aktuell gehalten wird", die ihr weiterempfehlen würdet?
      0
      0
      Muss hier was stehen?^^

      Sicheres Loginsystem - PHP

      smssam
      am 22.04.2019 18:19
      von  smssam  am
      Es kommt auch immer darauf an was man mit dem Login auch konkret schützen will. Dementsprechend machen manche Sicherheitsfeatures mehr oder weniger sinn.

      Ganz grob:


      1. Session richtig verwenden
      2. Eingeloggter Nutzer an zusätzlichen Kriterien "binden" (z. B. IP und / oder User Agent)
      3. Je nach Fall zusätzliche Beschränkungen (eine aktive Sitzung des Nutzers, Sitzungsdauer, auf Plausibilität prüfen z. B. vor 10 Minuten in Deutschland eingeloggt und 10 Minuten später mit einer chinesischen IP)
      4. Brute-Force Schutz
      5. Je nach Situation evtl. Honeypot
      6. Rollen- / Rechtesystem
      7. 2-Faktor-Authentifizierung
      8. Keine offensichtlichen "Sicherheitsfragen" die selbst Personen aus dem nahen Umfeld beantworten können.
      9. Passwort abfrage vor Änderung der Profildaten - bei geänderter E-Mail evtl. einen Bestätigungs-Link an die vorherige Adresse senden
      10. Logs


      Natürlich sollte man auch die allgemeinen Sicherheitskriterien berücksichtigen (Session Hijacking, SQL-Injection etc.), eine gute Quelle hierfür ist die OWASP.

      EDIT: OWASP Top 10

      Auch sollte man die Passwort "zurücksetzen" Funktion vernünftig umsetzen. So empfinde ich es immer als fahrlässig das bei vielen Seiten / Anwendungen direkt nach außen hin kommuniziert wird, ob es einen Nutzer mit der jeweiligen E-Mail vorhanden ist oder nicht.

      0
      0

      Sicheres Loginsystem - PHP

      Daart
      am 06.05.2019 10:07
      von  Daart  am
      Danke für deine sehr hilfreiche Antwort 🙂
      Xavier – PHP Login Script & User Management
      Kennt das jemand ? Lohnt es sich?
      Kann die Schriftgröße per tablet nicht ändern ^^sry
      0
      0
      Muss hier was stehen?^^

      Sicheres Loginsystem - PHP

      Daart
      am 12.05.2019 16:41
      von  Daart  am
      Kennt hier denn niemand ein gutes user management system, was man leicht anpassen kann? php foren, vms usw und beispiele aus github sind zwar schön, aber vieles ist veraltet und mir macht das als Laie echt Probleme ohne Ende 😆

      klar sollte man als Laie sowieso die Finger davon lassen, aber andere bekommen da ja auch hin mit cms systemen.

      Kennt ihr ein gutes, leicht anpassbares, was auch regelmäßig aktualisiert wird?
      0
      0
      Muss hier was stehen?^^

      Sicheres Loginsystem - PHP

      smssam
      am 12.05.2019 18:51
      von  smssam  am
      Es gibt Frameworks die das Problem schon von Haus aus lösen (z. B. Laravel), oder gute Erweiterungen für ein RBAC anbieten. Auch sind CMS / CMF wie ProcessWire oder ModX jenach vorhaben ideal - bei all diesen Lösungen erfolgen auch regelmäßige Updates und eine unterstützende Community steht ebenfalls dahinter.

      Aber jenachdem was man unter "Laie" versteht (programmierst du noch prozedural oder beherrscht du schon die OOP?), würde dich das auch nur bedingt weiterbringen.

      Daher mal anders gefragt:

      Was ist denn konkret dein Problem oder wozu hast du im Detail fragen?
      0
      0

      Sicheres Loginsystem - PHP

      Daart
      am 14.05.2019 04:43
      von  Daart  am
      Naja, Laie passt dann auch nicht mehr ganz.

      Soll für einen Paid4 Bereich dienen. Hab mir jetzt aber einiges zusammengesucht und bastel mir selbst was zusammen.

      Mir ging es hauptsächlich um "updates" mit einem cms, neue Optionen, Kontrollmöglichkeiten usw. , damit ich nicht ständig selbst umschreiben oder dazu setzen muss und eben für die Sicherheit.

      ProcessWire kannte ich noch gar nicht
      0
      0
      Muss hier was stehen?^^

      Sicheres Loginsystem - PHP

      Daart
      am 05.08.2019 21:51
      von  Daart  am
      Da ich etwas zum Spaß und zum Lernen Programmiere, war mir das zu viel selbst etwas zu basteln, daher hab ich mir die angebotenen Skripte noch mal angeschaut und kann UserSpice sehr weiterempfehlen.

      Ich denke simpler geht es gar nicht, nur leider nicht so umfangreich. Wird aber aktuell weiterentwickelt und es stehen regelmäßig Updates zur Verfügung.
      0
      0
      Muss hier was stehen?^^

      Taschenrechner