#1
| ||||
| ||||
Sicherheit von Passwörtern / Widerekennen eines UsersDa es im Thread "Gelesen-Funktion - wie funktioniert das?" ja auch um Cookies geht und erwähnt wurde das sich Daten in Cookies verändern lassen (wurde von mir persönlich erwähnt) Stellt sich mir nun die Frage: Wie kann ich sicherstellen das nicht jemand die Cookies eines anderen Users entführt. Es tratten ja schon Probleme mit dem WBB1 und dem ominösen [img] tag auf wo man statt eines Bildes ein Javascript übergeben konnte (was auch beim Posticon ging). Mit diesem konnte man z.B. die Cookies auslesen. Nun, man könnte natürlich versuchen die Möglichkeiten zur Übergabe eines Javascript so klein wie möglich zu halten. Jedoch erhöht sich mit der Anzahl der Eingabefelder eines Users auch die Wahrscheinlichkeit das ein Feld nur schlecht überprüft wird und so ist möglicherweise ein Sicherheitsloch vorhanden was man vielleicht sogar direkt an der Quelle stopfen könnte. Deswegen meine Frage: Wie könnte man die User Erkennungs Funktion verändern das genau dieses Loch nicht auftritt?? Die meisten Systeme speichern ja UserID/Username und Passwort in den Cookies. Diese könnte man nun entführen und in die eigenen cookies schreiben. Aber wie lässt sich dies verhindern?? __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#2
| ||||
| ||||
mit festen IP's. ansonsten is sicherheitslückenstopfen immer noch das beste. ein andrer weg fällt mir grade nicht ein, ausser halt keine cookies verwenden __________________ Stefan Käser Administrator von www.vbulletin.org Das Publikum ist so einfältig, lieber das Neue als das Gute zu lesen. Arthur Schopenhauer |
#3
| ||||
| ||||
Zitat:
Zitat:
Zitat:
__________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#4
| ||||
| ||||
Zitat:
__________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#5
| ||||
| ||||
Kannst du dir solche Beiträge nicht sparen? Es interessiert wirklich keinen, WAS du machst. WIE du es machst wäre eigentlich interessanter |
#6
| ||||
| ||||
Zitat:
Er meint eher sowas wie: Ich ersetze alle < und > in ihr HTML pendant damit sie nicht als HTML Tags vom browser verstanden werden. Das bringt alles weit mehr als wenn du schreibst ich setze <schiessmichtot></schissmichtot> und sowas will ich gar nicht wissen. Denn was hab ich davon wenn ich davon wenn ich weiß wie ich mit deinen Templates irgendetwas "sichern" kann, wenn ich es nicht wirklich nachvollziehen kann. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#7
| ||||
| ||||
nur zur informationhtmlentities() ist fast das selbe wie htmlspecialchars() http://at2.php.net/manual/de/function.htmlentities.php nur so am rande |
#8
| ||||
| ||||
Hi @ll Eure technik ist ja recht nett, aber wie DaddyCool im ersten Beitrag schon geschrieben hat, würde es bei einem PostIcon trotzdem gehn. Ihr übersetzt zwar jegliche Variablen, aber ihr vergesst, das die Ausgabe schon in einem HTML-Tag (IMG) erfolgt. da könnt ihr vorher ersetzten was ihr wollt *fg* Sicherheit des Cookies: Das man Passwörter verschlüsselt dorthinein schreibt ist irgendwie logisch. Daten die Rechte definieren, sollte man auch ned umbediengt hinein schreiben. Es gibt 2 Mögliche Daten die drin stehn könnten: 1) UserID + verschlüsseltes Pass 2) UserHash zu 2 wäre zusagen, dieser wird in der Öffentlichkeit (für den User sichtbar) nicht verwendet, also nur fürs Cookie. wenn man sich für die 1 Variante entscheidet, kann man dieses Array in einen String umwandeln und diesen Verschlüsseln. Wenn man zusätzlich ein Session-Cookie verwendet, wird das manipulieren, bzw. entwenden schon recht schwer. Wiedererkennung ist so eine Sache. Kann aber mit den oben angeführten Techniken bewerkstelligt werden. __________________ Sven-Marcus Maderbacher Cu l8er Nev the XxX Projekte: www.Nev-Hilft.de die Seite für Coder Master of www.Burnworld.de |
#9
| ||||
| ||||
@ciruZ Ich muss mich meinen Vorrednern anschliessen, das hast du nicht erwähnt, wie du es machst. Zitat:
das war auch der Fehler den DaddyCool beschrieben hatte. __________________ Sven-Marcus Maderbacher Cu l8er Nev the XxX Projekte: www.Nev-Hilft.de die Seite für Coder Master of www.Burnworld.de |
#10
| ||||
| ||||
;-) Für einen selbst ist alles klar aber andere sollte man es erklären können, so profitieren alle davon. Wegen dem String, JA das ist WBB __________________ Sven-Marcus Maderbacher Cu l8er Nev the XxX Projekte: www.Nev-Hilft.de die Seite für Coder Master of www.Burnworld.de |
#11
| ||||
| ||||
statt cookies usersessions |
#12
| ||||
| ||||
Zitat:
Genügt da z.B. ein Cookie mit der UserID und dem verschlüsselten Passwort, das auf jeder Seite mit den gespeicherten Werten in der Datenbank verglichen wird? Wie sollte man das Passwort dann verschlüsseln? |
#13
| ||||
| ||||
Zitat:
dann ist halt nichts mit automatischen einloggen wenn er die seite erneut besucht... solange er sich in ihr bewegt kann er aber alles machen |
#14
| ||||
| ||||
ich denk mal an cookie daten komm ich leichter... aber bin jetzt auch net so der sicherheitscrack... aber wenn ihr zusammenlegt und mir die entsprechenden schulungen zahlt lass ich mich breitschlagen und geb euch danach die antworten |
#15
| ||||
| ||||
die session id als teil der url? |
#16
| ||||
| ||||
und ich sagte das ich eben kein automatische login will, wenn du damit jetzt meinst: ich surf aufm board... surf weg.. komm wieder... |
#17
| ||||
| ||||
Zitat:
__________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#18
| ||||
| ||||
jo... wie gesagt solange du dich auf dem board bewegst, in threads etc hast du ja kein problem... surfst du von dem board weg, ist halt die session auch weg.. ergo neu anmelden... mag zwar nicht ganz so kompfortabel sein, aber eben evtl. sicherer... der komfport, nicht für jeden thread etc neu einloggen zu müssen bleibt aber erhalten... ich pers. find es oft sogar ätzend das ich zwei tage später noch eingeloggt bin, nur wiel ich mich im vb net per abmelden verabschiedet habe |
#19
| ||||
| ||||
Hi @ll Mir ist es generell auch egal, aber man wird faul mit der Zeit. Man muss einen Weg finden, der den User eindeutig erkennt. da mir nichts anderes als Cookie bekannt ist, würde ich für ein Auto-Login ein solches verwenden. um den User zu erkennen, benötigt man wie gesagt die UserID und Pass __________________ Sven-Marcus Maderbacher Cu l8er Nev the XxX Projekte: www.Nev-Hilft.de die Seite für Coder Master of www.Burnworld.de |
Stichworte |
- |
Themen-Optionen | |
Thema bewerten | |