Opened by GwenDragon at 2024-05-09 14:33
User since
2005-01-17
14741 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2005-01-17
14741 Artikel
Admin1
Ich verwende seit langen in CGI-Sessions ein Extra-Token, das auch in den Sessiondaten ((hier CGI::Session mit DSN file) gespeichert wird.
Die Session-ID ist im Cookie. Das Token wird nicht im Cookie geführt, sondern als HTML-Input mit Attribut hidden in Formularen.
Alles wird über SSL geführt.
Ich generiere das Token so:
Der Tread nur so als Anregung, auch für Andere, so wie ich es mache klappt es ja.
Frage in die Runde wie ihr es für sinnvoll erachtet.
Wie Token erzeugen?
- Randomwert als MD5
- Randomwert als SHA1, so wie ich oben
- HMAC-Hash, aber da müsste ich ein Secret im Programm speichern
- Oder anders?
Gern auch Beispiele posten.
Last edited: 2024-05-09 14:48:33 +0200 (CEST)
Die Session-ID ist im Cookie. Das Token wird nicht im Cookie geführt, sondern als HTML-Input mit Attribut hidden in Formularen.
Alles wird über SSL geführt.
Ich generiere das Token so:
Code (perl): (dl
)
1 2 3 4 5
sub generate_Token { my $tok = sha1_hex( time * 2, __PACKAGE__, rand, $ENV{HTTP_USER_AGENT} // '', time, $ENV{REMOTE_IP} // '', time ); return $tok; }
Der Tread nur so als Anregung, auch für Andere, so wie ich es mache klappt es ja.
Frage in die Runde wie ihr es für sinnvoll erachtet.
Wie Token erzeugen?
- Randomwert als MD5
- Randomwert als SHA1, so wie ich oben
- HMAC-Hash, aber da müsste ich ein Secret im Programm speichern
- Oder anders?
Gern auch Beispiele posten.
Last edited: 2024-05-09 14:48:33 +0200 (CEST)