Schnell-Login durch Link/Bookmark

#0
21.04.2009, 13:07
...neu hier

Beiträge: 7
#1 Hallo!

Folgendes hätte ich vor:
Ich habe bereits ein Webportal (Verwaltung f. Maschineninstandhaltung) welches ausschließlich von einer handvoll Personen benutzt wird. Das ständige Einloggen mit Name & Kennwort möchte ich vereinfachen und dem Team eine Art link in den Lesezeichen des Browsers anbieten, der die Anmeldung erledigt...

Meine Frage:
Spricht sicherheitstechnisch etwas dagegen eine Authentifizierung per GET durchzuführen? (natürlich nicht die Zugangsdaten im Klartext sondern ein Hashkonstrukt)

Wäre es sicherer vorher ein Loginformular zu laden, das sich bei gespeicherten Zungangsdaten selbst abschickt (-> PSOT)?

Oder habt ihr bessere Lösungsansätze? (z.B. Cookies)

Ich freue mich auf eure Antworten,
danke im Voraus!

LG Itzi
__________
Dieser Beitrag wurde mit 100% Ökostrom erstellt.
Seitenanfang Seitenende
21.04.2009, 22:34
Member
Avatar Laserpointa

Beiträge: 2171
#2 Hi Itzi,

Per Get ist zwar gut möglich aber in der Tat nicht sooo schön, wie per Post.
Schliesslich wird diese URL auch in der Browser History und möglicherweise von Browser Add-Ons so protokolliert das sie auf jeden Fall leichter Dritten zufallen könnte.

Schöner ist natürlich ein Hash in einem Cookie.
Es gibt inzwischen sogar Firefox Add-Ons, die bestimmte Cookies immer wieder neu setzen...

Greetz Lp
Seitenanfang Seitenende
21.04.2009, 23:18
Member
Avatar Gool

Beiträge: 4730
#3 Oder die altbewährte Methode, die Login-Daten vom Browser speichern zu lassen, damit die lästige Eingabe der Login-Daten entfällt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
21.04.2009, 23:49
Moderator
Avatar hevtig

Beiträge: 2287
#4

Zitat

itzi postete
Meine Frage:
Spricht sicherheitstechnisch etwas dagegen eine Authentifizierung per GET durchzuführen? (natürlich nicht die Zugangsdaten im Klartext sondern ein Hashkonstrukt)
Eine Authentifizierung per GET ist sicherheitstechnisch sicherlich zweifelhaft.
Der Passwordmanager des Browsers oder ein Cookie (die Laufzeit kann man ja festlegen) sind da sicherlich die wesentlich besseren Varianten.

Eine Username + Passwort Übergabe per GET kann einfach kopiert werden, dann braucht man sich auch nicht die Mühe machen, aus dem Passwort einen Hash zu generieren...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: