Hallo!
Kann man bzw. hat schon mal jemand Admidio ohne Cookies betrieben?
Soweit ich weiß (bin aber kein Profi) kann eine Anmeldung auf einer Webseite mit Cookies oder alternativ über Sessions geregelt werden. Cookies werden aber immer mehr als Sündenbock abgestraft und die meisten Nutzer verbinden Cookies mit etwas Negativem (zumindest mein Eindruck).
Admidio scheint die Variante der Cookies gewählt zu haben (habe das im Code nicht überprüft).
Also meine Fragen:
1. Welchen Vorteil hat die Verwendung von Cookies im Verlgeich zu Sessions? Bzw. warum verwendet Admidio Cookies und nicht ne Session?
2. Hat schonmal jemand versucht Admidio ohne Cookies zum Laufen zu bringen und wie viel Aufwand ist das?
Hat vielleicht jemand Ansatzpunkt für mich?
Danke und viele Grüße,
Michael
Cookies
Hallo Michael,
Admidio verwendet beides, Cookies und Sessions.
Wir nutzen Cookies eigentlich nur dafür um den User wieder identifizieren zu können. Das Problem, welches Leute durch Cookies haben, ist ja eigentlich, dass ggf. durch die Manipulation von Cookies eine gültige Anmeldung vorgetäuscht wird. Dies ist aber bei Admidio nicht so einfach möglich, da wir alle Informationen zusätzlich noch in der Datenbank speichern. Nach einem erfolgreichen Login wird dann auch hauptsächlich mit der Session weiter gearbeitet. Manipuliert nun einer sein Cookie, dann passt es nicht mehr zum Wert in der Datenbank und der Login ist ungültig.
Problematisch kann es nur werden, dann du Auto-Login aktiv hast und der Benutzer anderen Zugriff auf seinen Rechner lässt. Aber das ist ja ein generelles Problem aller Auto-Logins. Aus diesem Grund kann man das auch in den Systemeinstellungen deaktivieren.
Meiner Meinung musst du dir eigentlich keine Sorgen wegen der Cookies machen. Missbrauch ist mit der jetzigen Implementation nur schwer möglich.
Viele Grüße
Fasse
Admidio verwendet beides, Cookies und Sessions.
Wir nutzen Cookies eigentlich nur dafür um den User wieder identifizieren zu können. Das Problem, welches Leute durch Cookies haben, ist ja eigentlich, dass ggf. durch die Manipulation von Cookies eine gültige Anmeldung vorgetäuscht wird. Dies ist aber bei Admidio nicht so einfach möglich, da wir alle Informationen zusätzlich noch in der Datenbank speichern. Nach einem erfolgreichen Login wird dann auch hauptsächlich mit der Session weiter gearbeitet. Manipuliert nun einer sein Cookie, dann passt es nicht mehr zum Wert in der Datenbank und der Login ist ungültig.
Problematisch kann es nur werden, dann du Auto-Login aktiv hast und der Benutzer anderen Zugriff auf seinen Rechner lässt. Aber das ist ja ein generelles Problem aller Auto-Logins. Aus diesem Grund kann man das auch in den Systemeinstellungen deaktivieren.
Meiner Meinung musst du dir eigentlich keine Sorgen wegen der Cookies machen. Missbrauch ist mit der jetzigen Implementation nur schwer möglich.
Viele Grüße
Fasse
Nicht untersucht, aber soll hier doch angesprochen werden: Werden Sitzungen noch zusätzlich an die aktuelle IP-Adresse ($_SERVER["REMOTE_ADDRE"]) gebunden? Falls nein, wäre dies noch eine wichtige Verbesserung.
Siehe dazu auch
https://www.bsi.bund.de/SharedDocs/Down ... cationFile
Kapitel 2.9 und 2.10
Siehe dazu auch
https://www.bsi.bund.de/SharedDocs/Down ... cationFile
Kapitel 2.9 und 2.10
Teste die PC-Sicherheit mit www.sec-check.net
Re: Cookies
Hallo dreael,
dein Hinweis ist zwar schon was älter, aber dennoch aktuell
Bisher wird die IP-Adresse nicht bei jedem Seitenaufruf geprüft.
Für die kommende größere Version würde ich das aber einbauen. Dann sollte bei jedem Seitenaufruf geprüft werden, ob die IP immer noch dieselbe ist, die ursprünglich beim Anlegen der Session übermittelt wurde. Hat sie sich geändert, dann soll ein Hinweis erscheinen und die Session wird ungültig.
Gruß
Fasse
dein Hinweis ist zwar schon was älter, aber dennoch aktuell
Bisher wird die IP-Adresse nicht bei jedem Seitenaufruf geprüft.
Für die kommende größere Version würde ich das aber einbauen. Dann sollte bei jedem Seitenaufruf geprüft werden, ob die IP immer noch dieselbe ist, die ursprünglich beim Anlegen der Session übermittelt wurde. Hat sie sich geändert, dann soll ein Hinweis erscheinen und die Session wird ungültig.
Gruß
Fasse
Re: Cookies
Das finde ich gefährlich. Dadurch könnte die Applikation total unnutzbar gemacht werden, wenn der Benutzer über einen Proxy ins Internet gelangt, der die IP-Adresse ständig wechselt.
Bei mir wird bei jedem Seitenaufruf von whatismyip.com eine andere Adresse angezeigt:
xxx.yyy.140.185
xxx.yyy.140.184
xxx.yyy.140.188
xxx.yyy.140.186
Und zwar binnen einigen Sekunden. Bitte überdenken, eventuell eine Option machen oder sicherstellen dass Benutzerspezifische Ausnahmen erstellt werden können.
Bei mir wird bei jedem Seitenaufruf von whatismyip.com eine andere Adresse angezeigt:
xxx.yyy.140.185
xxx.yyy.140.184
xxx.yyy.140.188
xxx.yyy.140.186
Und zwar binnen einigen Sekunden. Bitte überdenken, eventuell eine Option machen oder sicherstellen dass Benutzerspezifische Ausnahmen erstellt werden können.
Re: Cookies
Hallo Eiseli,
diese Problematik war mir noch garnicht bewusst. Ich dachte, dass zumindest in einer Browsersession die IP gleich bleiben würde, wenn ich nicht aktiv diese ändern wollte.
Mit deinem Hinweis ist der Sinn der Aktion dann natürlich in Frage gestellt. Eigentlich wäre die Funktion gut gewesen um damit eine Übernahme der Session durch einen 3. zu identifizieren.
Gruß
Fasse
diese Problematik war mir noch garnicht bewusst. Ich dachte, dass zumindest in einer Browsersession die IP gleich bleiben würde, wenn ich nicht aktiv diese ändern wollte.
Mit deinem Hinweis ist der Sinn der Aktion dann natürlich in Frage gestellt. Eigentlich wäre die Funktion gut gewesen um damit eine Übernahme der Session durch einen 3. zu identifizieren.
Gruß
Fasse
Re: Cookies
Admidio scheint die Variante der Cookies gewählt zu haben (habe das im Code nicht überprüft).
motorcycle leather jacket motorcycle leather jacket training training 000-332 practice test 000-332 practice test gre test prep gre test prep