Sicherheit von Passwörtern / Widerekennen eines Users

Xenon · #2 27.10.2003, 18:44

mit festen IP's.

ansonsten is sicherheitslückenstopfen immer noch das beste.

ein andrer weg fällt mir grade nicht ein, ausser halt keine cookies verwenden

DaddyCool · #3 27.10.2003, 18:50

Zitat:

Original geschrieben von Xenon
mit festen IP's.

Leider nicht anwendbar

Zitat:

ansonsten is sicherheitslückenstopfen immer noch das beste.

Aktuell scheint es wohl so, wobei man ja noch auf etwas anderes prüfen könnte. Browser oder so (kann man ja in der User Tabelle speichern und dann vergleichen). Nur ob dies das wahre ist. Könnte nach einem Browser Update in die Hose gehen.

Zitat:

ein andrer weg fällt mir grade nicht ein, ausser halt keine cookies verwenden

Was die Funktion unmöglich macht

DaddyCool · #4 27.10.2003, 18:58

Zitat:

Original geschrieben von ciruZ
Ich brauch in meiner Forensoft nur ein<htl></htl> drum schreiben und schon ist das Feld gesichert
(also beim Output)

Und wie machst du das beim Cookie??

MrNase · #5 27.10.2003, 20:41

Kannst du dir solche Beiträge nicht sparen? Es interessiert wirklich keinen, WAS du machst. WIE du es machst wäre eigentlich interessanter

DaddyCool · #6 27.10.2003, 21:01

Zitat:

Original geschrieben von ciruZ
Lies bitte korrekt. Es beinhaltet auch wie. Wenn du nichts mit anfangen kannst, sag einfach nichts, ok?

Es beinhaltet nicht wirklich wie du es machst, da hat MrNase schon recht. Du beschreibst wie du es anwendest, aber nicht wie du es letzendlich machst.

Er meint eher sowas wie: Ich ersetze alle < und > in ihr HTML pendant damit sie nicht als HTML Tags vom browser verstanden werden.

Das bringt alles weit mehr als wenn du schreibst ich setze <schiessmichtot></schissmichtot> und sowas will ich gar nicht wissen. Denn was hab ich davon wenn ich davon wenn ich weiß wie ich mit deinen Templates irgendetwas "sichern" kann, wenn ich es nicht wirklich nachvollziehen kann.

Nev · #8 28.10.2003, 00:15

Hi @ll

Eure technik ist ja recht nett, aber wie DaddyCool im ersten Beitrag schon geschrieben hat, würde es bei einem PostIcon trotzdem gehn.

Ihr übersetzt zwar jegliche Variablen, aber ihr vergesst, das die Ausgabe schon in einem HTML-Tag (IMG) erfolgt.
da könnt ihr vorher ersetzten was ihr wollt *fg*

Sicherheit des Cookies:
Das man Passwörter verschlüsselt dorthinein schreibt ist irgendwie logisch.
Daten die Rechte definieren, sollte man auch ned umbediengt hinein schreiben.

Es gibt 2 Mögliche Daten die drin stehn könnten:
1) UserID + verschlüsseltes Pass
2) UserHash

zu 2 wäre zusagen, dieser wird in der Öffentlichkeit (für den User sichtbar) nicht verwendet, also nur fürs Cookie.

wenn man sich für die 1 Variante entscheidet, kann man dieses Array in einen String umwandeln und diesen Verschlüsseln.

Wenn man zusätzlich ein Session-Cookie verwendet, wird das manipulieren, bzw. entwenden schon recht schwer.

Wiedererkennung ist so eine Sache.
Kann aber mit den oben angeführten Techniken bewerkstelligt werden.

Nev · #9 28.10.2003, 00:30

@ciruZ

Ich muss mich meinen Vorrednern anschliessen, das hast du nicht erwähnt, wie du es machst.

Zitat:

Schwachsinn. posticon = int(11)

Wenn du das wbb 1.x kennst, dort war das ein String und kein INT
das war auch der Fehler den DaddyCool beschrieben hatte.

Nev · #10 28.10.2003, 00:38

;-)

Für einen selbst ist alles klar
aber andere sollte man es erklären können, so profitieren alle davon.

Wegen dem String, JA das ist WBB

Matix · #11 28.10.2003, 12:00

statt cookies usersessions

andelal · #12 28.10.2003, 13:25

Zitat:

Original geschrieben von ciruZ
Wie willst du denn z.B. automatisches einloggen machen?

Hab ich mich auch gerade gefragt.
Genügt da z.B. ein Cookie mit der UserID und dem verschlüsselten Passwort, das auf jeder Seite mit den gespeicherten Werten in der Datenbank verglichen wird? Wie sollte man das Passwort dann verschlüsseln?

Matix · #13 28.10.2003, 13:27

Zitat:

Original geschrieben von ciruZ
Wie willst du denn z.B. automatisches einloggen machen?

ich würde, wenn mir sicherheit wichtig ist, daten nie über eine sitzung hinaus speichern... ;p

dann ist halt nichts mit automatischen einloggen wenn er die seite erneut besucht... solange er sich in ihr bewegt kann er aber alles machen

Matix · #14 28.10.2003, 13:45

ich denk mal an cookie daten komm ich leichter... aber bin jetzt auch net so der sicherheitscrack...

aber wenn ihr zusammenlegt und mir die entsprechenden schulungen zahlt lass ich mich breitschlagen und geb euch danach die antworten

Matix · #15 28.10.2003, 13:57

die session id als teil der url?

Matix · #16 28.10.2003, 14:27

und ich sagte das ich eben kein automatische login will, wenn du damit jetzt meinst: ich surf aufm board... surf weg.. komm wieder...

DaddyCool · #17 28.10.2003, 14:52

Zitat:

Original geschrieben von Matix
und ich sagte das ich eben kein automatische login will, wenn du damit jetzt meinst: ich surf aufm board... surf weg.. komm wieder...

Und jedesmal wenn du wieder kommst willst du dich neu einloggen??

Matix · #18 28.10.2003, 15:31

jo... wie gesagt solange du dich auf dem board bewegst, in threads etc hast du ja kein problem... surfst du von dem board weg, ist halt die session auch weg.. ergo neu anmelden...

mag zwar nicht ganz so kompfortabel sein, aber eben evtl. sicherer... der komfport, nicht für jeden thread etc neu einloggen zu müssen bleibt aber erhalten...

ich pers. find es oft sogar ätzend das ich zwei tage später noch eingeloggt bin, nur wiel ich mich im vb net per abmelden verabschiedet habe

Nev · #19 28.10.2003, 16:10

Hi @ll

Mir ist es generell auch egal, aber man wird faul mit der Zeit.

Man muss einen Weg finden, der den User eindeutig erkennt.
da mir nichts anderes als Cookie bekannt ist, würde ich für ein Auto-Login ein solches verwenden.

um den User zu erkennen, benötigt man wie gesagt die UserID und Pass

Sicherheit von Passwörtern / Widerekennen eines Users

Sicherheit von Passwörtern / Widerekennen eines Users

nur zur information