• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Frage Session Cookie Lifetime

Das verschlüsselte hab ich in der DB auch gespeichert, bei mir wird es aber erst in PHP verschlüsselt, das heißt doch dann, dass es in unverschlüsselt verschickt wird und man das abfangen kann, oder?

Und wenn ich https dazu kaufen würde, würde denn dann trotzdem alles bisherige gleich funktionieren?
 
Gykonik schrieb:
Und wenn ich https dazu kaufen würde, würde denn dann trotzdem alles bisherige gleich funktionieren?
Zum Vergrößern anklicken....
Ja, das ist eine Verschlüsselung auf Netzwerkebene, die Applikationen merken davon nichts. Siehe dazu beispielsweise https://de.wikipedia.org/wiki/Transport_Layer_Security

scbawik schrieb:
Geht auch gratis: https://letsencrypt.org
Zum Rest fehlt mir die Zeit zu antworten.
Zum Vergrößern anklicken....
So dringend ist es glaub nicht, wäre schön, wenn du noch etwas dazu sagen könntest. Aber mein erster Eindruck vom Lesen her ist, dass man dann etwas installieren muss und dazu benötigt man einen Server oder zumindest gewisse Root-Rechte und nicht nur eine einfache Homepage mit PHP und mySql, wie es die meisten wie ich haben.
 
NetAktiv schrieb:
wäre schön, wenn du noch etwas dazu sagen könntest.
Zum Vergrößern anklicken....

Privat bin ich bei Uberspace wo SSH Standard ist und die haben gleich zu Beginn der Public Beta ein entsprechendes Tool bereitgestellt. Wirklichen Kontakt mit Let's encrypt hatte ich also garnicht. Wie das abläuft kannst du hier nachlesen wenn es dich interessiert: https://wiki.uberspace.de/webserver:https#nutzung_von_let_s-encrypt-zertifikaten
Eine Sache von höchstens 2 Minuten - macht schon fast Spaß.

Erneuern muss man derzeit spätestens alle drei Monate - aber auch das wird demnächst automatisiert.
Bzw. lässt sich das temporär auch als Cronjob abwickeln.

Es gibt sonst noch einige andere Hoster die Let's encrypt unterstützen und bei denen es auch teilweise über das Webinterface geht - also kein SSH nötig:
https://github.com/letsencrypt/letsencrypt/wiki/Web-Hosting-Supporting-LE

Mir ist gerade aufgefallen:
Alle Anbieter (aus DE, CH und US) die ich sonst aufgrund ihrer guten Services weiterempfehle, sind natürlich auch in dieser Liste vorhanden. Hier trennt sich eben die Spreu vom Weizen.
 
Zuletzt bearbeitet:
scbawik schrieb:
Erneuern muss man derzeit spätestens alle drei Monate - aber auch das wird demnächst automatisiert.
Bzw. lässt sich das temporär auch als Cronjob abwickeln.
Zum Vergrößern anklicken....
Jetzt habe ich es nochmals genauer gelesen Let’s Encrypt is a new Certificate Authority
Also es ist eine reine Zertifizierungsstelle und die Installation, über die ich gelesen hatte, betrifft die Installation der Zertifikate auf dem Server. Unterschied zu anderen Stellen ist dann halt, dass die Zertifikate kostenlos sind. Damit bleibt das aber nach wie vor außen vor, wenn man keine Server-Rechte hat, sondern nur eine normale Homepage mit PHP. Dann muss mein Hoster bereit sein, diese Zertifikate zu unterstützen und zu installieren, und das im Moment alle 3 Monate oder zumindest die Cron-Jobs einzurichten. Ich bin bei 1blu und der ist nicht auf der Liste. OK, ich habe auch keinen Login und daher keinen Bedarf an SSL. Danke für die Infos.

Nachtrag: 1blu erlaubt SSL ab 1,59€ im Monat https://www.1blu.de/ssl/
ich habe dennoch keinen Bedarf :)
 
Zuletzt bearbeitet:
Es ist auch immer die Frage, wieviel Arbeit man gegen die eingesparten monetären Vorteile reinstecken muss und wie stabil so eine alternative Lösung ist. Wenn ich nur meine Login-Page absichern will und nicht noch etliche andere Haupt- oder Subdomains, dann reicht ja das billig-Angebot von 1blu und dann denke ich nicht weiter darüber nach. Nun hat der Gykonik zumindest etwas zum Recherchieren und Nachdenken :D
 
Hä? :(
Ihr überfordert mich...:(
Wie teuer wäre es denn, xyz.info zu "https'n" (tolles Wort :D), bei 1Blu?

Wenn ich euch richtig verstehe muss ich nur eine Domain schützen, da ich nur xyz.info habe oder ist damit auch jede Unterdomain wie xyz.info/index.php?section=BlaBla?

Und ich habr noch eine Frage zum Thema des KeepMeLoggedIn's...
Wie macht man das denn, bei jedem Aufruf prüfen, ob der Keks existiert, oder die Session auf 'unendlich lange' setzen?
 
Lies nun mal selber sein wenig, den Link zu 1 blu hast und da steht auch, was die Leistungen sind. Gilt nur für eine Domain, Sub-Domains werden teurer. Zu Cookies siehe das manual http://php.net/manual/de/features.cookies.php und spiel mal ein wenig damit herum. Kannst auch erst mal meine Seite benutzen, unter http://php.netaktiv.de/index.php?page=browser kannst oben rechts Cookies im Browser setzen und unter http://php.netaktiv.de/index.php?page=umgebung kannst die Cookies, die im PHP als $_COOKIE ankommen, wieder ausgeben.
 
Hab meine Frage glaube ich (wieder mal) unklar ausgedrückt...

Mir geht es nicht um die Cookies sonder um das Prinzip, wie man mit Cookies umgeht weiß ich...
Es geht um die KeepMeLoggedIn Funktion:
Ich weiß nicht genau, ob es sinnvoller ist die Session dann auf "unendlich" zu setzen, wenn man "immer" eingeloggt bleiben möchte, oder ob man jedes mal, wenn die Session nicht vorhanden ist prüft, ob ein Cookie existiert zum Thema Eingeloggt bleiben
 
Und ich habe ebenfalls noch eine Frage zu dem Skript, das prüft, ob ein User online ist...

@bdt600 Idee war ja folgende:

bdt600 schrieb:
Bei jedem Klick eines User setzt du einen Keks mit dem aktuellen Timestamp und speicherst diesen gleichzeitig in einer Datanbank ab. Wenn der User 3 Stunden nicht aktiv war, wird der Keks ungültig und er muss sich wieder einloggen. Weiterhin baust du in jeder Seite einen Teil ein, der alle User aus der Tabelle rauswirft, deren letzter Timestamp als 3 Stunden alt ist.
Zum Vergrößern anklicken....

Allerdings weiß ich nicht, wie das gehen soll, wenn der User sich auf mehreren Geräten gleichzeitig einloggen kann...
Also was ist bitte, wenn ich am Handy und PC eingeloggt bin, da kann man ja schlecht mit einer Datenbank arbeiten, wenn ich dann allerdings beide Fenster einfach so schließe ohne mich abzumelden kann ich ja auch schlecht mit den Cookies arbeiten...
 
Mittlerweile ist dieser Thread kilometerlang und man verliert so langsam die Übersicht, worum es hier noch genau geht.
 
Frag den bdt600, was er mit dem Keks wollte, ich denke, den braucht es nicht.

Da du ja erlauben willst, dass jeder Benutzer mehrfach angemeldet sein kann, um so am PC anzufangen und dann auf der Toilette am Handy weiter zocken kann oder was immer dein Hintergedanke ist, ist die Benutzerinformation für das Beobachten unwichtig, einzig die Session zählt. Also speichere in einer Tabelle session_id und last_action_time (und evetuell noch zur Info user_id und login_time). Vor jeder Action schaust nach, ob action_time <= xx und wenn ja, dann setzt last_action_time=Jetzt und führst die Action durch. Falls action_time > xx, dann erlaubst als action nur noch den Login und nach erfolgreichem Login setzt wieder last_action_time=Jetzt und alles geht von vorne los. Irgendwann (1x täglich oder wöchentlich oder stündlich) lässt einen Lumpensammler Job laufen, der aus der Tabelle alle session_id wirft, bei denen last_action_time abgelaufen ist.

Und nun mag ich ehrlich gesagt nimmer, das Thema interessiert mich nämlich erhrlich gesagt herzlich wenig. Viel Erfolg.
 
Danke Leute, dann stör ich euch mal nicht weiter...
Ich schaff das schon irgendwie selber

Danke auf jeden Fall an euch alle! :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben