Ich werde unser Tutorial in Kürze darauf anpassen:
Diese Möglichkeit des AJAX Logins ist echt genial..
Nichtmal Portsniffer haben damit eine Chance..
(normale php oder .htaccess logins über HTTP können da nicht mithalten)
Link zur Seite:
webthreads.de/2006/08/login-abfrage-via-ajax/
ajaxpatterns.org/Direct_Login
Diese Möglichkeit des AJAX Logins ist echt genial..
Nichtmal Portsniffer haben damit eine Chance..
(normale php oder .htaccess logins über HTTP können da nicht mithalten)
Link zur Seite:
webthreads.de/2006/08/login-abfrage-via-ajax/
ajaxpatterns.org/Direct_Login
Der Server generiert serverseitig ein einmaliges Token mit zufälligen Zeichen (im englischen wird hier oft von einem “Seed” gesprochen). Dieses Token wird anschließend im Browser verwendet um das schon gehashte Passwort noch einmal ein eine neues Hash umzuwandeln. Die Daten werden anschließend an den Server übertragen. Das in der Datenbank gespeicherte Passwort-Hash wird nun auch mit dem Token in ein neues Hash umgewandelt und mit dem vom Browser übertragenen Wert verglichen. Stimmen die beiden Hashwerte überein sind auch die eingegebenen Daten korrekt und der User hat sich authentifiziert.
Wichtig bei dieser Vorgehensweise ist, dass das Token immer nur ein einmaliges Token ist. Bei jeder Anfrage wird das Token neu generiert und ist nur für einen Versuch gültig. So kann ein abgehörtes Hash, was im Browser generiert wurde, nicht noch einaml verwendet werden.