AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Fragen / Anregungen zur DP Sicherheit bei der Anmeldung - Anregung zur DP
Thema durchsuchen
Ansicht
Themen-Optionen

Sicherheit bei der Anmeldung - Anregung zur DP

Ein Thema von Arty · begonnen am 1. Mai 2005 · letzter Beitrag vom 3. Mai 2005
Antwort Antwort
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#1

Re: Sicherheit bei der Anmeldung - Anregung zur DP

  Alt 2. Mai 2005, 08:10
Hallo Hagen,

Zitat von negaH:
Aha, also gibt es auch anormale Benutzer die dann meine EMail Addresse rausbekommen können. Nun diese "Benutzer" könnten auch als "Hacker" versuchen mein Passwort rauszubekommmen um dann meine anderen Accounts zu hijacken.
ja, diese "anormalen" Benutzer sind Admins und Mods der DP. Ich glaube nicht, dass diese deine eMail-Adresse weiterverkaufen

Zitat von negaH:
Fazit: das Passwort sollte niemals meinen Rechner verlassen, ausserhalb meines Rechners sollte immer nur eine Einweg-Prüfsumme in den Datenbanken gespeichert werden, und das bedeutet das es unmöglich für einen Forenbetreiber sein wird mir mein eigenes Passwort zu mailen. Das ist gut so.
Das wird es ja auch. Zum Beweis ein paar Codeschnipsel:
in login.php:
Code:
if( md5($password) == $row['user_password'] && $row['user_active'] )
in usercp_register.php, beim Setzen des Passworts:
Code:
if ( $row['user_password'] != md5($cur_password) )
//...
$new_password = md5($new_password);
$passwd_sql = "user_password = '$new_password', ";
Also, es wird wie bei jedem phpBB nur der MD5-Hash des Passworts abgespeichert, und beim Login der MD5-Hash des uebergebenen Passworts mit dem gespeicherten Hash verglichen. Ich denke dass ich dir nicht erklaeren muss, dass man ohne Rainbowtables (=Brute Force) das Passwort nicht aus dem Hash rauskriegt.
Beim Senden des Passworts geschieht das hier:
Code:
$user_actkey = gen_rand_string(true);
$key_len = 54 - strlen($server_url);
$key_len = ( $str_len > 6 ) ? $key_len : 6;
$user_actkey = substr($user_actkey, 0, $key_len);
$user_password = gen_rand_string(false);
Anschliessend wird das neue Passwort und der Activation key in die DB geschrieben (das Passwort wiederum als Hash), und der Benutzer muss den Account wieder aktivieren. Anschliessend kann er sich mit dem generierten Passwort anmelden und kann es aendern.
Ich versteh eure Sorge also wirklich nicht.

Zitat von Daniel:
Zusätzlich zu den von Andreas (alcaeus) und Sharky vorgeschlagenen Lösungen kann ich anbieten, eine Javascript-Implementation der MD5-Verschlüsselung ins Login-Script zu integrieren, so dass für die User, die es wünschen, das Passwort nach der Login-Eingabe tatsächlich lokal (!) verschlüsselt und dann nur als Hash zum DP-Server geschickt wird.
Das bringt vielleicht ein kleines bisschen, aber solange keine sichere Verbindung steht, ist das Passwort immer gefaehrdet. Der MD5-Hash wird trotzdem noch unverschluesselt gesendet, und man kann sich anhand des MD5-Hashs in ein Forum einloggen. Nichtsdestotrotz wuerde es ein paar Hackern die Arbeit erschweren, da das Anmelden per MD5-Hash viel komplizierter ist als mit Klartext-Passwort

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:50 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz