Re: AW: [Asp.net] Automatisches Login - wie funktioniert das eigentlich?

Wed, 30 Nov 2005 06:13:06 -0800 

ja. das mit der id würde ich auf jedenfall noch machen. ich habs halt so 
gemacht, ich habe die
email in dem cookie gespeichert und das passwort - allerdings verschlüsselt 
(md5).
und dann liest du den benutzer aus und das verschlüsselte pwd. suchst zum 
benutzer das
unvreschlüsselte pwd und verschlüsselst es wieder und vergleichst ...
dann brauchst du kein extra-feld in der db.

hier auch ein code für die verschlüsselung:

    Function _getHashCodeFromString(ByVal text As String) As String

        Dim key As String = "irgendeinen String hier eingeben"
        Dim uEncode As New System.Text.UnicodeEncoding()
        Dim hash() As Byte
        Dim bytProducts() As Byte = uEncode.GetBytes(text & key)
        Dim md5 As New MD5CryptoServiceProvider()
        hash = md5.ComputeHash(bytProducts)
        Return Convert.ToBase64String(hash)
 _getHshCodeFromString", _
                           ex.toString())
    End Function

----- Original Message -----
From: Patrik Bitzer
To:  <[email protected]>
Sent: Wed, 30 Nov 2005 15:07:22 +0100
Subject: AW: [Asp.net] Automatisches Login - wie funktioniert das eigentlich?

Hallo
Vielen Dank für die Antwort.

> in den cookies speicherst du nur den benutzernamen (der ist 
> ja auch eindeutig, hoffe ich).
Das ist er.


> und den cookie setzt du erst nach dem ersten einloggen.
Ok.


> und ansonsten prüfst du immer beim laden der seite den cookie ab.
> mal ein codebeispiel:
> 
> 
> Dim cookiesColl As HttpCookieCollection = New 
> HttpCookieCollection() cookiesColl = Request.Cookies
> 
>  If Not cookiesColl.Item("afl") is Nothing  Then
>       email = cookiesColl.Item("afl").Value()
>       kundenEinloggen(email)
>  End If

Aber es kann doch sicher das Cookie manipuliert werden? Wenn ich einen
anderen Benutzername(email) ins Cookie "reinhacke" dann bekomme ich frei
Haus das Login des jeweiligen anderen Benutzers?

Kann den ein Cookie "gehackt" werden so wie ich es vermute? Oder kann ein
Cookie auch auf einen anderen Computer kopiert werden und funktioniert dort
(cookie-klau)?

Müsste ich nicht wie von Michael Reichstein beschreiben, noch mindestens
eine ID verwenden, dass ich nicht wild einfach einen anderen Benutzername
"reinhacken" könnte?

Patrik

_______________________________________________
Asp.net Mailingliste, Postings senden an:
[email protected]
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/asp.net

Antwort per Email an