nicht angemeldet
"Sicherheit" im Forum / Login-Vorgang
Hi,
habe es nach langer Zeit geschafft mir hier ein Account einzurichten und logge mich auch gerne mal unter diesem ein.
Fragen:
Was passiert genau beim Einloggen? (OK, ich sende in meinem Formular mein Account+Password. Nun würde ich eine GUID in einem hidden-input-Element erwarten. Aber nichts.) Werden die Formulardaten sicher übertragen? (Hätte da laienhafterweise was mit https erwartet.)
Will ich nun posten, finde ich eine "unid"- und eine "qchar"-"Variable". Wo kommt die her?
Dass das Einloggen funktioniert und welchen Sinn es macht, meine ich jeweils zu wissen.
Gruss,
Lude
-
Hallo Lude,
Was passiert genau beim Einloggen?
Wenn du es richtig machst, gibst du Usernamen und Passwort
ein.(OK, ich sende in meinem Formular mein Account+Password.
Nun würde ich eine GUID in einem hidden-input-Element
erwarten. Aber nichts.)http://hoohoo.ncsa.uiuc.edu/cgi/env.html:
|# REMOTE_USER
|
|If the server supports user authentication, and the script
|is protected, this is the username they have authenticated
|as.Werden die Formulardaten sicher übertragen? (Hätte da
laienhafterweise was mit https erwartet.)Wohl kaum. Warum sollte man hier https verwenden?
Will ich nun posten, finde ich eine "unid"- und eine
"qchar"-"Variable". Wo kommt die her?Die werden vom Script generiert?
Was genau moechtest du eigentlich wissen?
Gruesse,
CK-
Was genau moechtest du eigentlich wissen?
Gruesse,
CKHallo Jungs,
danke für die interessanten und auch schnellen Antworten. Ja, was wollte ich eigentlich wissen:
a) Wie Sicherheit umgesetzt worden ist, hier
b) Wie komplex (sagen wir mal wie schwierig für mich nachzuvollziehen) die Sache umgesetzt worden ist
c) ob mein eigenes einfaches Sicherheitskonzept (eine Tabelle "Sessions", eine Tabelle "Benutzer" und eine Tabelle "Rechte"; dann Sitzung anlegen, Sitzung authentifizieren und "Sitzung-GUID" hin und herschicken), welches ich einige Male umgesetzt habe, unzureichend sein könnte.Gruss,
Lude-
Hallo Lude,
a) Wie Sicherheit umgesetzt worden ist, hier
Ist ja inzwischen 3x beantwortet worden ;)
b) Wie komplex (sagen wir mal wie schwierig für mich
nachzuvollziehen) die Sache umgesetzt worden istSehr einfach.
c) ob mein eigenes einfaches Sicherheitskonzept (eine
Tabelle "Sessions", eine Tabelle "Benutzer" und eine
Tabelle "Rechte"; dann Sitzung anlegen, Sitzung
authentifizieren und "Sitzung-GUID" hin und herschicken),
welches ich einige Male umgesetzt habe, unzureichend sein
könnte.Es kommt darauf an, was du moechtest. Wenn du wirklich
definierte Sessions brauchst, ist dieser Mechanismus absolut
das Richtige. Wenn nicht, dann ist er oversized. Schlecht
bzw. unzureichend ist er auf keinen Fall (hoechstens
Inperformant, wegen der Auslagerung in ein DBS).Gruesse,
CK -
Hallo!
a) Wie Sicherheit umgesetzt worden ist, hier
Das wurde doch in den Postings erklärt, oder? Ist das noch nicht klar?
b) Wie komplex (sagen wir mal wie schwierig für mich nachzuvollziehen) die Sache umgesetzt worden ist
s.o.
c) ob mein eigenes einfaches Sicherheitskonzept (eine Tabelle "Sessions", eine Tabelle "Benutzer" und eine Tabelle "Rechte"; dann Sitzung anlegen, Sitzung authentifizieren und "Sitzung-GUID" hin und herschicken), welches ich einige Male umgesetzt habe, unzureichend sein könnte.
Das kann man zum einen pauschal nicht sagen da ich zumindest das genaue Konzept(Quellcode) nicht kenne. Außerdem kommt es darauf an _was_ Du schützen willst. Für mich hat basic/digest Authentifizierung den Vorteil das man hiermit alle HTTP zugriffe schützen kann, nicht nur die Zugriffe auf "manuell" geschütze Scripte.
Außerdem ist es ein standardisiertes Verfahren was bekannt, sicher und performant ist. Verwalten läßt sich das genauso gut wie eine eigene Lösung mit Sessions.Ich frage mich nur wofür Du 3 Tabellen benötigst? Es würde doch die Tabelle "Benutzer" reichen in der Du auch die Rechte speichern kannst denn die mußt Du sowieso pro Benutzer speichern. Den Sinn der Tabelle "Sessions" sehe ich nicht, außer vielleicht um zu verhindern das es gleichzeitig mehrere Sessions pro Benutzer gibt.
Ich mache das immer so dass ich die Zugangsdaten in der Session speichere und die dann mit der Tabelle "Benutzer" bei jedem, Zugriff validiere und ggfs. die Rechte auslese. Das ist IMHO sogar sicherer als basic und digest authentification, da die Zugangsdaten nur einmal übertragen werden, halt beim einloggen, und dann nur noch die Session ID, im Gegensatz zur HTTP Authentification. Wobei der Sicherheitsgewinn auch hier nur marginal ist, da man zum einen auch innerhalb der Session genug anrichten kann, und vor allem, wenn jemand einmal in der Lage ist den HTTP-Traffic zu belauschen dass er an die HTTP Auth Daten kommt, dann kommt er mit etwas Geduld auch an die Zugangsdaten einer Session-basierten Lösung. Außerdem ist bei der Session-Lösung noch zu beachten, dass die SessionID ggfs. im Request-String übertragen wird, und so in verschiedenen Logfiles auftauchen kann, wenn man da schnell genug dran kommt ist der "Einbruch" also erheblich einfacher. Außerdem kann man sich in Eigenbau-Lösungen leicht Sicherheitslücken einbauen, was bei HTTP-Auth schon etwas schwieriger sein sollte.
Viele Grüße
Andreas-
Hi,
a) Wie Sicherheit umgesetzt worden ist, hier
Das wurde doch in den Postings erklärt, oder? Ist das noch nicht klar?b) Wie komplex (sagen wir mal wie schwierig für mich nachzuvollziehen) die Sache umgesetzt worden ist
s.o.Was ich wissen _wollte_ ist nicht unbedingt das, was ich wissen will. Danke an Euch alle für Ihre Beiräge!
Ich frage mich nur wofür Du 3 Tabellen benötigst? Es würde doch die Tabelle "Benutzer" reichen in der Du auch die Rechte speichern kannst denn die mußt Du sowieso pro Benutzer speichern. Den Sinn der Tabelle "Sessions" sehe ich nicht, außer vielleicht um zu verhindern das es gleichzeitig mehrere Sessions pro Benutzer gibt.
Danke für die Frage:
Also, wenn der erste Browserclient-Zugriff kommt gibt's eine Session_GUID. (Tabelle 1)
Die Nutzer incl. Sicherheitskontext kommen notwendigerweise aus einer anderen Tabelle (Tabelle 2)
Die Tabelle Rechte ist nicht unbedingt notwendig, aber "richtig", weil es Rechte gibt, die auch andere haben werden. So ähnlich wie man in einer denkbaren selfhtml-Nutzertabelle besipielsweise auch den Bildungsstand in eine andere Tabelle auslagern könnte (gemeint Abitur, Sonderschule, Hochschulabschluss u.a.).Außerdem kann man sich in Eigenbau-Lösungen leicht Sicherheitslücken einbauen, was bei HTTP-Auth schon etwas schwieriger sein sollte.
Das ist natürlich richtig.
Gruss,
Lude-
Hi Lude,
Die Nutzer incl. Sicherheitskontext kommen notwendigerweise aus einer anderen Tabelle (Tabelle 2)
dieser Aussage kann ich mich beim aktuellen Informationsstand nicht anschließen. Möglicherweise hast Du zusätzliche Anforderungen, aber die bisher genannten erzwingen keine zweite Tabelle.
Viele Grüße
Michael-
Hi, Michael,
so weit ich weiss kann man immer mit einer Tabelle alles machen; ist aber nicht gut.
Ich habe einfach keine Phantasie, wie man halbwegs legitimiert (moralisch legitimiert) Sitzungen und Nutzerrechte in eine Tabelle schreiben kann. - Da würde ich gerne mal ein Beispiel sehen.
Gruss,
LudeHi Lude,
Die Nutzer incl. Sicherheitskontext kommen notwendigerweise aus einer anderen Tabelle (Tabelle 2)
dieser Aussage kann ich mich beim aktuellen Informationsstand nicht anschließen. Möglicherweise hast Du zusätzliche Anforderungen, aber die bisher genannten erzwingen keine zweite Tabelle.
Viele Grüße
Michael-
Hallo Lude,
Ich habe einfach keine Phantasie, wie man halbwegs
legitimiert (moralisch legitimiert) Sitzungen und
Nutzerrechte in eine Tabelle schreiben kann. - Da würde
ich gerne mal ein Beispiel sehen.*Natuerlich* tut man genau das nicht. Schon allein deshalb,
weil ein User nicht zwingenderweise eingeloggt ist oder auch
mehrmals eingeloggt sein kann (vielleicht nicht bei dir, aber
generell schon -- und wir sind natuerlich auf eine generelle
Loesung aus :), also eine 1:n-Beziehung besteht.Gruesse,
CK-
Ich habe einfach keine Phantasie, wie man halbwegs
legitimiert (moralisch legitimiert) Sitzungen und
Nutzerrechte in eine Tabelle schreiben kann. - Da würde
ich gerne mal ein Beispiel sehen.*Natuerlich* tut man genau das nicht. Schon allein deshalb,
weil ein User nicht zwingenderweise eingeloggt ist oder auch
mehrmals eingeloggt sein kann (vielleicht nicht bei dir, aber
generell schon -- und wir sind natuerlich auf eine generelle
Loesung aus :), also eine 1:n-Beziehung besteht.Hi,
ich meinte Zustimmung aus Deinem Beitrag heraus zu lesen, aber das konnte ja nicht sein. Was war eigentlich mit "(vielleicht nicht bei dir, aber generell schon -- und wir sind natuerlich auf eine generelle Loesung aus :)" gemeint? Ich hab' schon mal in puncto Datenhaltung des Forums gepostet und von Dir eine Antwort erhalten, von der ich nur noch die Zeichenkettenfolge "XML-Hauptdatei" in meinem Gedächtnis abgelegt ahbe.
Also Du sprichst hier mit einem Experten i.p. relationaler datenhaltung! :-)
Gruss,
Luddie-
Hallo Lude,
lies doch bitte mal http://learn.to/quote, danke.
ich meinte Zustimmung aus Deinem Beitrag heraus zu lesen,
Korrekt.
aber das konnte ja nicht sein.
Warum? Du hast gesagt, Session-bezogene Daten sollte man
nicht in derselben Tabelle wie die User-Daten speichern.
Halte ich fuer absolut korrekt.Was war eigentlich mit "(vielleicht nicht bei dir, aber
generell schon -- und wir sind natuerlich auf eine
generelle Loesung aus :)" gemeint?Das es bei dir speziell vielleicht nicht zwingend so ist,
dass ein User sich mehrmals einloggen darf, aber bei anderen
Projekten das durchaus sein kann und deshalb eine
1:n-Beziehung zwischen User-Daten und Session-Daten besteht
(einem User-Eintrag sind n Session-Eintraege zuordbar).Und wegen dieser 1:n-Beziehung ist es absolut falsch, die
Session-Daten in derselben Tabelle zu speichern wie die
User-Daten.Gruesse,
CK-
Hi,
ich meinte Zustimmung aus Deinem Beitrag heraus zu lesen,
Korrekt.
Ich habe Dir wirklich zugetraut meinen Beitrag anders zu verstehen.
aber das konnte ja nicht sein.
Warum? Du hast gesagt, Session-bezogene Daten sollte man
nicht in derselben Tabelle wie die User-Daten speichern.
Halte ich fuer absolut korrekt.Was war eigentlich mit "(vielleicht nicht bei dir, aber
generell schon -- und wir sind natuerlich auf eine
generelle Loesung aus :)" gemeint?Grundsätzlich ist so eine Bemerkung nicht lustig; in diesem Fall möchte ich da auch keine Ausnahme machen.
Das es bei dir speziell vielleicht nicht zwingend so ist,
dass ein User sich mehrmals einloggen darf, aber bei anderen
Projekten das durchaus sein kann und deshalb eine
1:n-Beziehung zwischen User-Daten und Session-Daten besteht
(einem User-Eintrag sind n Session-Eintraege zuordbar).Und wegen dieser 1:n-Beziehung ist es absolut falsch, die
Session-Daten in derselben Tabelle zu speichern wie die
User-Daten.Wenn ich wenigstens wüsste, ob Du mich a) durch Wiedergabe solcher Selbstverständlichkeiten ärgern willst oder b) Du einfach "so" bist und es ernst meinst. - Werde mal eine Nachforschung hier im Forum in Auftrag geben.
Gruss,
Luddie-
Hallo Lude,
Ich habe Dir wirklich zugetraut meinen Beitrag anders zu
verstehen.Bitte was?
[... Bemuehung nach allgemeinen Loesungen ...]
Grundsätzlich ist so eine Bemerkung nicht lustig; in
diesem Fall möchte ich da auch keine Ausnahme machen.Die Bemerkung ist absolut ernst gemeint und auch genau so,
wie ich es gesagt habe.Wenn ich wenigstens wüsste, ob Du mich a) durch Wiedergabe
solcher Selbstverständlichkeiten ärgern willst oder b) Du
einfach "so" bist und es ernst meinst. - Werde mal eine
Nachforschung hier im Forum in Auftrag geben.Gehts dir noch gut?
Du hast gesagt, du habest keine Phantasie, einen moralisch
vertretbaren Weg zu finden, Session-Daten in der User-Tabelle
zu speichern. Ich habe dir zugestimmt und eine Begruendung
dazu geschrieben. Du hast nachgefragt, weil du das Posting
offensichtlich nicht verstanden hast. Ich habe es noch einmal
genauer erklaert. Keinerlei persoenlicher Angriff, keinerlei
Angriff auf deine Kompetenz. Warum machst du mich jetzt so
von der Seite her an?Vielleicht hast du Vergessen, dass auch andere User hier
mitlesen. User, die weniger Ahnung von relationaler
Datenhaltung haben als du oder ich. Erklaerungen und
Begruendungen sind also auch bei (fuer dich) absoluten
Nichtigkeiten sinnvoll und notwendig. Kein Grund, sich
angegriffen zu fuehlen.Gruesse,
CK-
Hallo, Christian,
also:
[... Bemuehung nach allgemeinen Loesungen ...]
Grundsätzlich ist so eine Bemerkung nicht lustig; in
diesem Fall möchte ich da auch keine Ausnahme machen.Du zitierst recht unpräzise:
[... Bemuehung nach allgemeinen Loesungen ...] substituiert nämlich die Aussage, die mich geärgert hat - "(vielleicht nicht bei dir, aber
generell schon -- und wir sind natuerlich auf eine generelle Loesung aus :)"
"Das es bei dir speziell vielleicht nicht zwingend so ist,
dass ein User sich mehrmals einloggen darf,..." war auch so eine Aussage, die mich ansprach, aber nicht das Thema bearbeitete.Die Bemerkung ist absolut ernst gemeint und auch genau so,
wie ich es gesagt habe.Das ":)" deutet nicht darauf hin, das es ernst gemeint war.
Ausserdem lese ich immer wieder Sachen (als Anwort auf meinen Initialbeitrag dieses Threads) wie:
Was passiert genau beim Einloggen?
Wenn du es richtig machst, gibst du Usernamen und Passwort
einWerden die Formulardaten sicher übertragen? (Hätte da
laienhafterweise was mit https erwartet.)Wohl kaum. Warum sollte man hier https verwenden?
Will ich nun posten, finde ich eine "unid"- und eine
"qchar"-"Variable". Wo kommt die her?Die werden vom Script generiert?
Was genau moechtest du eigentlich wissen?Fazit:
Ja, das möchte ich Dir überlassen.Gruss,
Lude-
Hallo Lude,
Du zitierst recht unpräzise:
Nein.
[... Bemuehung nach allgemeinen Loesungen ...]
substituiert nämlich die Aussage, die mich geärgert hat -
"(vielleicht nicht bei dir, aber generell schon -- und wir
sind natuerlich auf eine generelle Loesung aus :)"Auf fuer dich verstaendliches Deutsch: 'Vielleicht ist bei
dir mehrmaliges Einloggen nicht erlaubt, diese Information
hast du mir nicht gegeben. Aber bei einer generellen Loesung
muss dieses Problem bedacht werden.'"Das es bei dir speziell vielleicht nicht zwingend so ist,
dass ein User sich mehrmals einloggen darf,..." war auch
so eine Aussage, die mich ansprach, aber nicht das Thema
bearbeitete.Wenn du nur streng themenbezogene Antworten suchst, verlasse
bitte dieses Forum.Die Bemerkung ist absolut ernst gemeint und auch genau
so, wie ich es gesagt habe.Das ":)" deutet nicht darauf hin, das es ernst gemeint
war.Dann haette ich einen ironischen Smiley hingeschrieben.
Ausserdem lese ich immer wieder Sachen (als Anwort auf
meinen Initialbeitrag dieses Threads) wie:Was passiert genau beim Einloggen?
Wenn du es richtig machst, gibst du Usernamen und Passwort
einWas soll ich auf eine so unpraezise Frage sonst schreiben?
Werden die Formulardaten sicher übertragen? (Hätte da
laienhafterweise was mit https erwartet.)
Wohl kaum. Warum sollte man hier https verwenden?Und die Begruendung, warum hier https verwendet werden
sollte, hast du bisher noch nicht geliefert.Fazit:
Ja, das möchte ich Dir überlassen.Das ist ganz einfach: du bist entweder sehr empfindlich und
siehst in allem einen Angruff oder du bist nicht in der Lage,
Postings unvoreingenommen zu lesen. In beiden Faellen bin ich
nicht laenger bereit, deine Fragen zu beantworten.Gruesse,
CK-
Hallo, Christian,
gut das ohnehin keiner den Mist liest, den wir Idioten hier fabriziert haben. :-)
Dass die Sache nicht archiviert wird, werde ich mal bei Gelegenheit beantragen.Dulle Grüsse,
Lude-
Hallo Lude,
gut das ohnehin keiner den Mist liest, den wir Idioten hier
fabriziert haben. :-)Hrhr ;)
Frieden?Dass die Sache nicht archiviert wird, werde ich mal bei
Gelegenheit beantragen.Hier wird alles archiviert. Aber frei nach
Schwanzabschneidermentalitaet[1]: nachdem es im Archiv ist,
ists (meist) vergeben.Gruesse,
CK-
Guten Morgen, Christian,
ich werde Deine Beiträge in Zukunft nie mehr als Angriff auf meine gute Grundstimmung verstehen. Versprochen.
Weiterhin viel Erfolg mit Deiner Arbeit (auch hier)!
Gruss,
LudeHallo Lude,
gut das ohnehin keiner den Mist liest, den wir Idioten hier
fabriziert haben. :-)Hrhr ;)
Frieden?Dass die Sache nicht archiviert wird, werde ich mal bei
Gelegenheit beantragen.Hier wird alles archiviert. Aber frei nach
Schwanzabschneidermentalitaet[1]: nachdem es im Archiv ist,
ists (meist) vergeben.Gruesse,
CK
-
-
Hi,
gut das ohnehin keiner den Mist liest, den wir Idioten hier fabriziert haben. :-)
falsch.
Chea "Es liest _immer_ jemand mit." tah
--
X-Will-Answer-Email: No
-
-
-
-
-
-
-
Hi Lude,
ich meinte Zustimmung aus Deinem Beitrag heraus zu lesen, aber das konnte ja nicht sein.
Du scheinst Dich in Deinem Image, böse[tm] zu sein, zu suhlen.
Dabei ist Dein Erfolg in dieser Hinsicht IMHO eher bescheiden ... ;-)Viele Grüße
Michael
-
-
-
-
-
-
Hi Andreas,
Ich frage mich nur wofür Du 3 Tabellen benötigst? Es würde doch die Tabelle "Benutzer" reichen in der Du auch die Rechte speichern kannst denn die mußt Du sowieso pro Benutzer speichern.
falls implizit eine 1:1-Beziehung zwischen jedem Benutzer und jeder Art von Rechten existiert, würde ich Dir recht geben.
Den Sinn der Tabelle "Sessions" sehe ich nicht, außer vielleicht um zu verhindern das es gleichzeitig mehrere Sessions pro Benutzer gibt.
"verhindern"? Ich hätte jetzt "kontrolliert ermöglichen" gesagt, denn zum Verhindern würde eine zusätzliche Spalte (mit der einzigen gerade legal aktiven Session-ID dieser Benutzerkennung) im Benutzereintrag ausreichen.
Wenn Du jedoch maximal <n> simultane Sessions pro Benutzerkennung erlauben möchtest und <n> selbst wiederum zu dynamisch ist, um es im Datenformat festzubrennen (beispielsweise, weil <n> eine 1:1-Eigenschaft jeder Benutzerkennung ist, oder einfach nur, weil die Tabellenstruktur "schön normalisiert" sein soll), dann dürfte eine solche Session-Tabelle kaum zu vermeiden sein.Viele Grüße
Michael
-
-
-
-
Hi,
Was passiert genau beim Einloggen?
der Server hat dem Client (Deinem Browser also) gesagt, dass dieser sich authentifizieren soll (Status 401). Der Client hat dies an Dich delegiert, indem er eine entsprechende Eingabemöglichkeit angeboten hat. Hiernach hat er den Request an den Server wiederholt und dabei die von Dir eingegebenen Daten in dafür vorgesehenen Headern mitgeschickt. Nachdem der Server nun ein OK gemeldet hat (bzw. im Fehlerfall erneut einen Status 401), sendet Dein Browser Deine Daten bei jedem Request wieder mit, für den sie gelten, bei dem also "die URL passt".
Das ganze ist Authentication gemäß RFC 2617 (http://www.ietf.org/rfc/rfc2617.txt), welche oft fälschlicherweise als ".htaccess-Passwortschutz" bezeichnet wird.
Will ich nun posten, finde ich eine "unid"- und eine "qchar"-"Variable". Wo kommt die her?
Wird vom Server generiert. Danke, dass Du den Begriff "Variable" in Anführungszeichen gesetzt hast ;-)
Cheatah
--
X-Will-Answer-Email: No -
Hi Lude,
Was passiert genau beim Einloggen?
schau es Dir doch einfach an:
http://www.schroepl.net/cgi-bin/http_trace.pl?url=http%3A%2F%2Fforum.de.selfhtml.org%2Fmy%2F&method=GET&version=HTTP%2F1.0Der Server verwendet also 'WWW-Authenticate: Basic realm="SELFHTML Forum"'.
Werden die Formulardaten sicher übertragen?
Deine credentials werden BASE64-codiert übertragen, also praktisch "im Klartext".
Dürfte das Forum es sich leisten, Registrierungen von Anwendern mit Netscape 4 und Netscape 6 zu ignorieren, dann wäre Digest Authentication die m. E. technisch bessere Lösung.
Eine zuverlässige serverseitige Unterscheidung zwischen Netscape 6 und 7 zu bauen, halte ich (angesichts der potentiellen Konfigurierbarkeit beider Browser plus allfälliger sonstiger Modifikation des HTTP-Headers "UserAgent:") für nur bedingt machbar und daher für kaum vertretbar.
(Hätte da laienhafterweise was mit https erwartet.)
Das wäre m. E. eine denkbare Verbesserung - wobei allerdings die Frage wäre, ob der erforderliche Aufwand (SSL installieren, Zertifikat bauen bzw. sogar kaufen etc.) gerechtfertigt wäre.
Viele Grüße
Michael-
Hallo Michael!
Dürfte das Forum es sich leisten, Registrierungen von Anwendern mit Netscape 4 und Netscape 6 zu ignorieren, dann wäre Digest Authentication die m. E. technisch bessere Lösung.
Einloggen könnte man sich ja auch mit dem md5-string, nur nicht mit einem "handelsüblichen" Browser, aber ich vermute das Leute die nicht im selben LAN sitzen und an die Zugangsdaten eines fremden Teilnehmers kommen bestimmt ohne große Schwierigkeiten z.B. den Quellcode des Mozilla dahin gehend modifizieren könnten, sich auch mit den md5-strings im Auth-Fenster einloggen zu können, oder? (ich könnte es nicht, ich wüßte aber auch nicht wie ich an die Zugangsdaten außerhalb meines lokalen LANs kommen könnte)
Ich sehe das eher so, wenn die Daten besonders schützenswert sind dann SSL, wenn nicht braucht man auch kein digest, es wäre nur eine "marginale" Verbesserung der Sicherheit.(Hätte da laienhafterweise was mit https erwartet.)
Das wäre m. E. eine denkbare Verbesserung - wobei allerdings die Frage wäre, ob der erforderliche Aufwand (SSL installieren, Zertifikat bauen bzw. sogar kaufen etc.) gerechtfertigt wäre.
Zumal die Performance erheblich leiden würde, und ob die Zugangsdaten so schützenswert sind diese Nachteile(Kosten, Aufwand, Performanceeinbußen) zu rechtfertigen wage ich zu bezweifeln. zur Not wird ein "geklauter" Account schlicht gelöscht, aber an der Anzahl der Fakepostings bisher, ohne Authentifizierung, kann man leicht sehen wie groß das Interesse daran sein dürfte!
Grüße
Andreas-
Moin moin!
Einloggen könnte man sich ja auch mit dem md5-string, nur nicht mit einem "handelsüblichen" Browser, aber ich vermute das Leute die nicht im selben LAN sitzen und an die Zugangsdaten eines fremden Teilnehmers kommen bestimmt ohne große Schwierigkeiten z.B. den Quellcode des Mozilla dahin gehend modifizieren könnten, sich auch mit den md5-strings im Auth-Fenster einloggen zu können, oder? (ich könnte es nicht, ich wüßte aber auch nicht wie ich an die Zugangsdaten außerhalb meines lokalen LANs kommen könnte)
Du hast das nicht so explizit gesagt, aber es scheint mir, dass Du glaubst, bei der Digest-Authentication wird einfach der md5-Hash ueber die Zugangsdaten gebildet und dann statt des Username/Passworts geschickt. Das waere natuerlich ziemlich sinnlos, da der Hash an die Stelle der Zugangsdaten tritt, und zwar so komplett, dass man die Zugangsdaten an sich nicht mehr braucht. Der md5-Hash waere einfach der neue Zugangscode, und er liegt im Klartext vor (wenn jemand an der Leitung mitlauscht, meine ich).
Aber Digest Auth funktioniert anders. Der Webserver gibt dem Client eine staendige wechselnde Zeichenkette vor (nonce value). Der Client bildet dann die md5-Summe ueber diese nonce value zusammen mit Benutzernamen, Passwort, angeforderter URL und der HTTP-Methode. Wegen der staendig wechselnden nonce value aendert sich auch die md5-Summe immer wieder und kann also nicht wiederverwendet werden. Rueckschluesse auf die Klartext-Zugangsdaten sind auch nicht moeglich.
So long
--
Bier trinken fetzt!!!
-
-