(Perl-Frage) User-Authentifizierung

Bash, Shell, PHP, Python, Perl, CGI
c14l
Posts: 31
Joined: 2002-12-24 09:37

(Perl-Frage) User-Authentifizierung

Post by c14l »

Hi alle! Mal eine Frage:

Ich bau da eine Webseite, bei der die Benutzer mittels login/password in einen geschützten Bereich einloggen können. Ich benutze zur Authentifizierung eines eingeloggten Benutzers eine Zufallszeichenkette (50 Zeichen a-z), die in der URL übergeben wird. Benutzerinfos (Einlogzeitpunkt, Rechte, etc.) werden in einem temporären File abgelegt, das als Namen die übergebene Zeichenkette hat.

Frage ist: Wie sicher ist sowas? Was gibt es für Nachteile, die das ganze unsicher (knackbar) machen könnten? Was für andere Dinge sollte man zusätzlich benutzen (Cookie o.ä.)? Wo gibt es angreifbare Schwachpunkte?

Danke für die Tipps!

P.S.: Ich möchte möglichst keine Perl-Module benutzen und auch möglichst nicht dem Apache die Authentifizierung überlassen. Das ganze soll mal über SSL laufen, wenn's fertig ist (und ich mich etwas über SSL schlau gemacht hab *g*).
c14l
Posts: 31
Joined: 2002-12-24 09:37

Re: (Perl-Frage) User-Authentifizierung

Post by c14l »

Hi nochmal! Hat niemand irgendeine Anmerkung? :cry:

Ich wollte einfach nur mal hören/diskutieren, ob es mögliche Ansätze gibt, um so eine System irgentwie anzugreifen, um mögliche Schwachstellen schon im Vorfeld abzudichten.

Jeder Gedanke ist willkommen! :)

Gruß
C14L
barto
Posts: 88
Joined: 2003-01-09 19:13

Re: (Perl-Frage) User-Authentifizierung

Post by barto »

wenn du sowieso SSL verwenden willst, was spricht dann gegen Authentifizierung über Apache (also Basic-Authentification) ? ist halt nur viel einfacher, weil's kein extra Aufwand ist.
c14l
Posts: 31
Joined: 2002-12-24 09:37

Re: (Perl-Frage) User-Authentifizierung

Post by c14l »

Hi barto!

Du meinst mit htaccess oder so? ch möchte die Login-Form aber in der Webseite drin haben und nicht aufpoppen lassen. Außerdem brauch ich für jeden user bestimmte infos, zB wie weitgehend dessen Rechte sind beim zugriff auf Daten innerhalb der einzelnen scripts.

Geht das auch mit Apache? Hab ich noch nie versucht...

Gruß
C14L
barto
Posts: 88
Joined: 2003-01-09 19:13

Re: (Perl-Frage) User-Authentifizierung

Post by barto »

naja, ich mein, du kannst ja die basic authentification auch in deinem script veranlassen, das muß ja nicht statisch über directories/files in der .htaccess gehen... einfach als header nen "401" zurückgeben, und beim nächsten mal bekommst du dann user und passwort... ist halt coding-technisch die einfachste methode, wenn du selber login machst über das script, dann kannst du natürlich schon sowas mit temporären session-ids machen... du könntest aber auch einfach den usernamen und das passwort als cookie speichern und dann bei jedem scriptaufruf überprüfen... ist auf alle fälle einfacher, als jeden link zu modifizieren, daß er ne session id bekommt..

das sind nur meine gedanken zu dem thema, sicherlich gibt es viele verschiedene lösungen, die halt mehr oder weniger unterschiedlich aufwendig/sicher sind... nur was ich sagen wollte, wenn du schon SSL machst, dann isses eigentlich egal was du machst, weil deine daten eh vershchlüsselt sind.