Authentifizierung in Formularen: Die Über-Antwort in StackOverflow
Kommentare

Hin und wieder, na ja, eigentlich ständig, kommen ratlose Entwickler nach StackOverflow und stellen ihre Fragen in die offene Runde. So hat Michiel de Mare vor circa drei Jahren gefragt, wie man denn

Hin und wieder, na ja, eigentlich ständig, kommen ratlose Entwickler nach StackOverflow und stellen ihre Fragen in die offene Runde. So hat Michiel de Mare vor circa drei Jahren gefragt, wie man denn am sichersten Authentifizierungs-Mechanismen in formularbasierten Login-Systemen implementiert. Und über die Jahre hinweg ist ein monumentaler Achtpunkteplan entstanden, der Best Practices aufzeigt, mit Quellen belegt und — viel wichtiger — ständig aktuell gehalten wird.

Darin geht es nicht nur um Logins. Auch werden empfindliche Fragen wie Session Handling, Passwort-Speicherung, Geheimfragen, Passwort-Wiederherstellung, URL-Handling, E-Mail-Verifizierung und mehr abgearbeitet. Insgesamt also ist der Post zu einer Art Leitfaden herangewachsen, dessen Umsetzung man wahrscheinlich schon unsichtbar auf einer Menge bekannter Websites antrifft.

Doch ganz perfekt ist der Beitrag auch nicht. Auf Hacker News, wo der Thread heute mal wieder auf die Frontpage gevotet wurde, bekam der Autor der Antwort für seine Cookie-Implementierung Kritik: Die vorgestellte Lösung mit der serverseitigen Speicherung der Magic Numbers kann sehr teuer werden — da sollte man besser HMAC-Cookies an Clients verteilen und den Server nur noch mit dem Zeitpunkt des letzten Logins desselben Clients belästigen. Weitere Kritikpunkte gibt es in der Diskussion.

Ist es Euch auch schon einmal untergekommen, dass eine simple Frage in einen Best-Practice-Leitfaden mündete? Oder gibt es andere Kuriositäten, die Euch in StackOverflow und Co. begegnet sind? Nutzt gerne die Kommentarfunktion, um Eure Erfahrungen zu teilen!

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -