login umgehen
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
analyse
angreifer
aufwand
auswirkung
beispiel
daten
firewall
freund
funktion
gewicht
hoffnung
inhalt
login
netzen
opus
pawort
schutz
session
username
zugreifen
-
Hallo,
Ich hab mir einen login geschrieben (ohne mysql)
Nun ist es so das dieser login auf von einem Freund von mir verwendet werden will der eine eigene Firma hat....
Eigentlich ist mein Login ganz ok au?er das er mit Referer arbeitet und das hab ich geh?rt und gelese l??t sich leicht faken und umgehen weiters blocken manche firewalls diesen Referer und der login kann nicht funktioniern...
Hat irgendwer eine idee was man da machn k?nnt um den login so sicher und kompatibel wie m?glich zu machn??
mfg Itchy die Maus -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Es geht ja nicht nur um Sicherheit, sondern auch um den betriebenen Aufwand. Ausserdem geht es auch darum, was gesch?tzt werden soll (Bereiche oder Funktionen?).
Manchmal ist es auch sinnvoll zu schauen, wie sch?tzenswert der Inhalt ist. Dadurch kann man auch bestimmen, ab wann es sich f?r einen Angreifer nicht mehr lohnt, Aufwand zum Hacken zu investieren.
Mal als Beispiel:
Jemand tr?gt einfach jede Woche einmal sein Gewicht irgendwo ein. Jeder darf es sehen, nur die betreffende Person darf ihr Gewicht eintragen. Niemand wird viel Energie darauf verschwenden, Zugriff auf die gesch?tzte Funktion des Eintragens zu erlangen. Hier w?rde z.B. ein einfacher Passwortvergleich als Klartext, der im PHP-Quellcode hinterlegt ist, vollkommen ausreichen. Es gibt zwar diverse Angriffsm?glichkeiten, aber niemanden interessiert ein erfolgreicher Angriff.
Langer Rede kurzer Sinn: Um eine qualitative Antwort auf dieses Thema zu geben, muss auch bekannt sein, was denn gesch?tzt werden soll und wie wichtig der Schutz ist (welche Auswirkungen h?tte das Umgehen eines Schutzmechanismuses?).
Deinem Freund w?rde ich jemanden empfehlen, der eine professionelle Analyse durchf?hren kann (mich zum Beispiel
). Sowas geht recht schnell und kann auch per elektronischen Medien koordiniert werden.
-
Hallo itchy!
Warum arbeitest du nicht einfach mit "username"-"passwort"-Kombination? Das ist zumindest sicherer als ?ber den zweifelhaften Referrer (und das w?re auch kein Login, sondern ein Referrer-abh?ngiges Freischalten einer bestimmten Seite).
Ich habe den (lesenden) Zugang zu meinen Logfiles zwar auch ohne Passwort "gesch?tzt" -- wer den Trick kennt, kann sich die Logfiles ansehen. Aber es handelt sich dabei um nicht so wichtige Daten. Allerdings funktioniert der Trick nur mit dem Opera-Browser. ?ffentlich werde ich den nat?rlich nicht verraten.
Und es bleibt "security by obscurity".
MfG
alopex
-
hallo,
Es sind schon wichtigere Daten welche gesch?tzt werden sollen also ganze php dateien.
Mit dem Referer bin ich jetzt eigentlich auch ganz zufriedn nur l?schen manche Firewalls l?schen die Http_Referer Variable....
Was kann man dagegen tun??
mfg Itchy die Maus -
Du kanst ?ber eine Datenbank Passwort und Username speichern. Wenn sich jemand einloggt vergleichst du die Daten mit denen in der Datenbank wenn die ?bereinstimmen setzt du einen Cookie in dem die atuelle Zeit steht und nach jedem seitenaufruf vergleich du die zeit im cookie mit der aktuellen wenn der Unterschied zb 5min ?berschreitet muss man sich neu einloggen wenn er unter 5 Minuten liegt wird die Zeit neu reingeschrieben- man ist nicht ausgeloggt.
Soweit die Erkl?rung viel Spa? beim ausprobieren. -
... ihr k?nnt nicht so einfach irgendwelche Tips abgeben, wie man einen "Schutz" aufbauen sollte, wenn ihr nicht wisst, was gesch?tzt werden soll. Stellt euch vor, es geht um ein Online-Bestellsystem. Wer da ohne https und nur mit Cookies arbeitet, hat irgendwann ein Riesenproblem.
butzlumbejunkys Vorschlag ist ja wohl ein Witz. Da kann man sich die Cookies ja gleich selber schreiben und hat immer Zugriff auf die Seite. -
Hmm..ich wei? nciht ob das sicher ist, aber ich verwende immer eine Session. Der holt sich aus der Datenbank die Daten, vergleicht diese und wenn alles stimmt wird Session auf true gesetzt und ein 30 Stellen Langes PW festgelegt, was jedes mal beim Aufruf einer Seite gepr?ft wird..
Damit sollten eigentlich keine Probleme auftreten..
mace -
@o-checka
Wenn du einen Cookie mit ner Zeit schreibst weis das Script immernoch net wer du bist also mach mal nicht einfach so eine Idee schlecht wenn du nichtmal richtig dar?ber nachgedacht hast. -
Hallo butzlumbejunkey!
Was der gro?e (gro?artige) 0-checka meint ist Folgendes: So lange das Passwort "nackt" (also unverschl?sselt) ?bers Netz gejagt wird, ist jeder Schutz, der auf ein solches Passwort vertraut sinnlos. Eine SSL-Verbindung ?ber HTTPS sorgt daf?r, dass Benutzerkennung und Passwort den Zielserver erreichen, ohne dass jemand mitlesen und damit das Passwort rausfischen kann.
Im Lima-City-Webspace-Fall bleibt also nur die Hoffnung, dass niemand so b?se ist, und hoffentlich niemand die M?glichkeit hat, den Netzwerkverkehr zwischen Webbrowser und Webspace-Server mitzuprotokollieren und daraus Benutzerkennung und Passwort herauszufischen. Das gilt auch f?r Cookies und andere Daten die zwischen Browser und Server ausgetauscht werden. Deshalb sollte man vertrauliche Daten auch nicht auf dem Client-Rechner zwischenspeichern, sondern immer auf dem Server behalten.
MfG
alopex -
Thx alopex f?r das Erkl?ren meiner Bedenken, ohne https zu arbeiten, aber das war eh nicht auf butzlumbejunkys Idee bezogen.
@butzlumbejunky:
Ich schreib mir dann einfach ein Cookie mit der aktuellen Uhrzeit und verbinde mich auf den passwortgesch?tzten Inhalt. Das Skript weiss nicht, wer ich bin, aber es denkt, ich sei eingeloggt. Da fehlt noch sehr viel bei deiner Idee, damit die was bringt.
Ausserdem habe ich nicht ?ber deine Idee nachgedacht, weil ich eh ein Vordenker bin
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
