nicht angemeldet
Passwort verschlüsseln (PHP + JavaScript)
Hallöle vom Rhein / un Moin anne Küste,
Passwörter sollten sicher sein. Aber dann werden sie im Klartext über die Leitung geschickt. Wer das lesen kann, kann nun jahrelang (wer ändert schon sein Passwort?) mühelos zugreifen.
Was haltet ihr von dieser Idee zur Anmeldung:
Bei Absendung des Formulars wird serverseitig (PHP) ein Schlüsselwort erzeugt, Beispiel: "Xz56FxP2es". Es wird mit Uhrzeit und Zählnummer (auto-increment) in der Datenbank abgelegt. Angenehmer Nebeneffekt: Zugriffszähler der Seite.
Jetzt geht das Schlüsselwort und die Zählnummer als hidden Attribut in das Anmelde- Formular ein.
Javascript verschlüsselt das eingegebene Passwort mit dem Schlüsselwort und schickt nur das Ergebnis. Das Passwort geht NICHT über die Leitung. Zurück geht auch die Zählnummer.
Serverseitig wird geschaut, ob die Zählnummer noch gültig ist, also jünger als fünf Minuten.
Zählnummer ungültig:
Nochmal anmelden mit neuer Zählnummer, neuem Schlüsselwort.
Zählnummer gültig:
Zgehöriges Schlüsselwort aus Datenbank holen, ebenso das Passwort zur User-ID. Passwort mit Schlüsselwort verknüpfen, Ergebnis mit gesendetem Ergebnis vergleichen.
Fragen:
1. Seht ihr eine Sicherheitslücke in der Idee?
2. Gibt es schon so eine Lösung zum Kopieren (Warum das Rad neu erfinden)?
3. Wenn nicht, besteht Interesse an der Veröffentlichung des Codes?
Liebe Grüße aus Worms, Kalle.
(So, jetzt erstmal 'n Kaffee)
-
Nabend,
Was haltet ihr von dieser Idee zur Anmeldung:
Naja, du grenz viele User aus (du verwendest JS).
SSL ist dir aber bekannt?Bis denne,
-
Hallo Hubert,
so eine Idee hatte ich auch schon mehrfach. Das, so mein Gedanke, macht es super einfach Webs von überall zu pflegen, wenn Fehler auftreten oder Änderungen gewünscht werden.
- Seht ihr eine Sicherheitslücke in der Idee?
Generell wollte ich ursprünglich noch 10 blinde Einträge in Eingabefelder generieren, um potenziellen Angreifern die Lust am Spielen zu nehmen. Ich habe es aber dann auch seingelassem, weil mir dann mit Firmenwechsel ein SSL-Proxy in den Schoß gefallen ist. Das halte ich dann doch für sicherer.
Prinzipiell ist es aber das gleiche Verfahren und ist damit genauso sicher.- Gibt es schon so eine Lösung zum Kopieren (Warum das Rad neu erfinden)?
Persönlich kenne ich keine, wenn ja - bitte hier eine Bezugsquelle posten!
- Wenn nicht, besteht Interesse an der Veröffentlichung des Codes?
Absolut! Ich melde hiermit mein Interesse an :)
Meinem Vorredner kann ich mich nicht anschließen. Javascript ist genauso schnell wieder aktiviert, wie es ausgeschaltet wurde. Das es Möglichkeiten geben mag, wo dies nicht zutrifft, rechtfertigt m. E. keine derartige Ablehnung (oder entstanden diese Debatten auch, als SSL noch nicht von allen gängigen Browsern unterstützt wurde?????).
Wenn man standardmäßige(!!!!!!!!!!!!) Einstellungen an seinem Browser bewußt abändert, muß man auch damit rechnen, das man bewußt ausgeschlossen wird und das auf die immer so aufgebauschte Minderheit von 1-2% nicht rücksicht genommen werden kann.Gruß aus Berlin!
eddi-
hi,
Meinem Vorredner kann ich mich nicht anschließen. Javascript ist genauso schnell wieder aktiviert, wie es ausgeschaltet wurde. Das es Möglichkeiten geben mag, wo dies nicht zutrifft, rechtfertigt m. E. keine derartige Ablehnung (oder entstanden diese Debatten auch, als SSL noch nicht von allen gängigen Browsern unterstützt wurde?????).
wenn javascript vom admin deaktiviert wurde, aktivierst du es so schnell sicher nicht wieder.
und ja, microsoft selbst empfiehlt mit schöner regelmässigkeit, active scripting (was bekanntlich JS beeinhaltet) _abzuschalten_, weil sie mit dem fixen der darauf basierenden sicherheitslöcher im IE nicht nachkommen.
Wenn man standardmäßige(!!!!!!!!!!!!) Einstellungen an seinem Browser bewußt abändert, muß man auch damit rechnen, das man bewußt ausgeschlossen wird und das auf die immer so aufgebauschte Minderheit von 1-2% nicht rücksicht genommen werden kann.
da kannst du hinter standardmässig noch so viele ausrufezeichen setzen (was die laut TP über deinen geisteszustand aussagen, kannst du im [ink:/archiv/] recherchieren) - fakt ist und bleibt, dass es leichtsinnig bis grob fahrlässig ist, produkte von microsoft in der standardkonfiguration zu betreiben.
gruss,
wahsaga-
Re:
da kannst du hinter standardmässig noch so viele ausrufezeichen setzen (was die laut TP über deinen geisteszustand aussagen, kannst du im </archiv/> recherchieren)
Lese ich mir gerne druch, bitte um eins zwei Suchbegriffe, damit ich was finde.
Danke!
eddi-
hi,
da kannst du hinter standardmässig noch so viele ausrufezeichen setzen (was die laut TP über deinen geisteszustand aussagen, kannst du im </archiv/> recherchieren)
Lese ich mir gerne druch, bitte um eins zwei Suchbegriffe, damit ich was finde.
mit "multiple exclamation marks" solltest du fündig werden :-)
(googlen dürfte schneller gehen, wenn das archiv wieder mal ausgelastet ist.)
gruss,
wahsaga-
Re:
na super :\ Okay - ich gelobe mich behandeln zu lassen ;)
Gruß aus Berlin!
eddi
-
-
-
-
danke euch, werde mich mal mit SSL beschäftigen. Ist wohl auch eine Frage der Kosten?
Na, ich werde sehen.
Übrigens: Das Projekt ist nicht für den DAU (dümmsten anzunehmenden User) gedacht. Die Beteiligten kennen den Schalter für JavaScript. Aber die grundsätzlichen Bedenken teile ich sehr wohl.
Kalle