RootForum Community

Hallo !

ich vermute mal ich bekomm gleich eins auf den Deckel aber ich versuchs trotzdem mal ...

Ich möchte einen User im PhpBB Forum automatisch von einer anderen Site aus (innerhalb eines CMS) anmelden.

Dazu hab ich mir erst mal auf die schnelle eine kleine Login Form gebastelt, die das erledigt. Der Nachteil ist nur, dass das Passwort als Hidden-Field im Quelltext steht.

Wie (un)sicher ist das ? Kann ich mich auf die Verschlüsselung verlassen ?

Warscheinlich nicht.

Hat jemand einen Tip wie man das besser machen kann ? Der User und das PW stehen in einer MySQL DB. Wie kann ich die Form submitten ohne dass das PW im Quelltext oder in einem Session Cookie o.ä. steht ?

Gruss

Die Sicherheit liegt zur Zeit bei etwa 2^64, aber das wird dir nicht viel bringen.

Du brauchst den Hash auch nicht in einem Key zu übergeben.

Wenn dein Script und das Forum auf dem gleichen Rechner liegen,
brauchst du den Hash nicht zu übergeben, sondern "klaust" dir
einfach die phpBB Session und verlinkst darüber.

Wenn du den User und PW in einer Tabelle hast, kannst du das einfach so machen:

SSL- Login Formular bauen, dort user und pwd abfragen, pwd auf dem Server hashen
und mit der Tabelle vergleichen, dann eigene Session aufmachen. Pwd und hash niemals
im Cookie ablegen, sondern nur die neue "session- ID", alle anderen Daten auf dem
Server vorhalten. (In PHP z.B. in einem DBM File oder in einer Mysql).

Fertig ist dem. Wird heutzutage überall so gemacht und ist relativ (!) sicher.

Versuch gar nicht eine eigene Methode zu finden, wenn du nicht mehrere Jahre
Kryptographie hinter dir hast, denn das wird schief gehen.

Gruss,

Out

PS:

CC kann dich ja auf eine geeignete Mailingliste zum Thema Kryptographie hinweisen, geg. falls
Board- Suche. ;)

Hey cool, da muss ich nicht einmal mehr selbst Schleichwerbung betreiben. ;)

http://r00th3ll.org/mailman/listinfo/crypto