John_McFo
Guest
Token, Auth und sonstige Sicherheitsmechanismen?[/b]
Wenn ich Dich richtig verstanden habe, dann drehen sich die Auth Tokens um die Sicherheitsnummern, die über SecurID oder SMS oder wie auch immer übertragen werden.
Diese Sicherheitsnummern stellen nichts weiter als eine Art weiteres Passwort dar, welches über einen anderen Kanal als das Internet übertragen wird. Damit soll sich die Sicherheit bei einer Authentifizierung (= die Prüfung deiner Identität) erhöhen. Da Deine Internetverbindung abgehört werden könnte, sind alle Übertragungen, die NUR über diese Leitung kommen potenziell gefährdet. Jeder weitere Transportkanal (hier: Mobilfunk) erhöht die Sicherheit.
Vielleicht helfen auch
[LIST]
[*][URL="http://de.wikipedia.org/wiki/Identifizierung"]Identifizierung ? Wikipedia[/URL]
[*][URL="http://de.wikipedia.org/wiki/Authentifizierung"]Authentifizierung ? Wikipedia[/URL]
[*][URL="http://en.wikipedia.org/wiki/Two-factor_authentication"]Two-factor authentication - Wikipedia, the free encyclopedia[/URL]
[/LIST]
Gruß McFo
Token, Auth und sonstige Sicherheitsmechanismen?[/b]
also was du meinst denk ich mal sind token für formulare.
bzw user eingaben.
ein beispiel wäre der login einer person und eine abfrage ob sie eine aktion machen darf.
user xyz kommt auf die seite und hat den status gast
er geht auf den login und gibt nun seine daten ein.
ab hier beginnt das sicherheitsspielchen.
in deinem script must du nun neben den userdaten ob diese stimmen auch prüfen ob er das ganze zb von der seite ausführt oder von einem externen script.
du willst ja sicherstellen das der user auf "deiner" seite auch direkt ist.
somit steckst du in das forum einen hidden value mit einem token wert.
der gleiche wert wird in die session gespeichert.
nun kannst du in der abfrage schaun ob der session token = dem forumular token ist.
danach würdest du die eingabe überprüfen und machen.
nächster punkt für den token is dann zb die userid
wie soll man die user id richtig speichern.
cookies lassen sich manipulieren, session auch bzw sogar weitergeben wenn man es richtig macht.
aber dennoch sind sessions das sinnvollere.
man lässt einen hashwert der session id erstellen und speichert diese als id des users
nun prüft man bei jeder user aktion einen zweiten referenz wert der session zb den usernamen den du auch dort hast.
lässt über den usernamen die userid auslesen und vergleichst ob der hash der ausgelesenen id gleich dem hashwert der session user id ist.
somit weißt du , der user ist eingelogt, kann seine uid nicht ändern und hat aber diese doch relativ zugänglich für dich zum arbeiten.
natürlich gibt es token noch für viele andere sachen aber das prinzip ist , ein wert der einmal sichtbar und daher änderbar und einmal unsichtbar/unänderbar mitgegeben wird um die echtheit und sicherheit zu gewährleisten.
weiter sicherheitsmaßnamen sind eben die hashed user id, ggf die pdo extension , token und weitere sicherheitsabfragen.
ich würde dir aber empfehlen dich mit solch einem schweren thema erst recht spät auseinander zu setzen, da dies sehr viel wissen der sprache , der funktionalität und der logik braucht.
bei fragen einfach mal melden
grüße pumble
Willkommen auf PSD-Tutorials.de
In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.
Nächster neuer Gratisinhalt
Statistik des Forums