Sinn oder Unsinn des PyLucids JS-MD5-Login...

Sockets, TCP/IP, (XML-)RPC und ähnliche Themen gehören in dieses Forum
sape
User
Beiträge: 1157
Registriert: Sonntag 3. September 2006, 12:52

N317V hat geschrieben:Nö, jens, ich pfeif auf das Passwort und ändere einfach in der DB, was ich ändern will ohne mich über PyLucid einzuloggen, was ich ja auch gar nicht mehr muss, wenn ich schon anderweitig auf die DB zugreifen kann.
Ja, als Admin und **nicht** als User ;) Und das ist doch Normal das man als Admin auf das System vollen Zugriff hat mit z.B. phpMyAdmin. Ist bei vBulletin auch nicht anders oder bei phpBB, etc. Und das hat doch nichts mit dem zu tun was Jens angesprochen hat.

Oder verstehe ich euch beide falsch?
Benutzeravatar
birkenfeld
Python-Forum Veteran
Beiträge: 1603
Registriert: Montag 20. März 2006, 15:29
Wohnort: Die aufstrebende Universitätsstadt bei München

Warum ist es dumm, wenn sie da als Hash drinstehen? Mit dem Hash kann man sich nicht einloggen. Könnte man das, bräuchte man den Aufwand mit dem Hashen ja gar nicht betreiben.
Dann lieber noch Vim 7 als Windows 7.

http://pythonic.pocoo.org/
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Da User in der Regel simple Passwörter haben, sollte man besonders leicht Erfolg beim Suchen der Hashes in Rainbowtables haben. Mit zunehmender Größe der vorberechneten Daten ist das aber noch weniger relevant.
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Irgendwie erzeugt das jsmd5 eine halbsichere Lösung für den Fall, dass es irgendwo eine riesige Sicherheitslücke gibt (z.B. dass jemand falsches einen SQL-Dump in die Finger kriegt). Zudem setzt es Javascript voraus, das ja selbst immer wieder für Sicherheitsprobleme sorgt.

Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Benutzeravatar
jens
Python-Forum Veteran
Beiträge: 8502
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

N317V hat geschrieben:Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?
Noch nicht, weil es bisher keiner Nachgefragt hatte ;)

Im Grunde klappt der Login auch super... z.Z. allerdings nicht im IE7, was aber wohl nur ein dummer JS Fehler ist.

Es wäre aber IMHO recht einfach ein PlainText Login zusätzlich zu realisieren. Aber da es bisher keiner wollte, mit mir eingeschlossen, wollte ich mir die zusätzliche Arbeit ersparen ;)

GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

jens hat geschrieben:Im Grunde klappt der Login auch super... z.Z. allerdings nicht im IE7, was aber wohl nur ein dummer JS Fehler ist.
Da wäre schon der nächste Punkt: Die teilweise gravierenden Unterschiede in der JS-Implementierung der Browser.
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Du hättest Dir am allermeisten Arbeit erspart, wenn Du gesagt hättest: wer Verschlüsselung will, der soll https nehmen. So teuer ist das auch wieder nicht.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Benutzeravatar
jens
Python-Forum Veteran
Beiträge: 8502
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Y0Gi hat geschrieben:Die teilweise gravierenden Unterschiede in der JS-Implementierung der Browser.
Naja, das hält sich in Grenzen, weil ich nicht so viel mit JS mache.

Die MD5-Implementierung läuft IMHO auf allen Browsern. Du kannst ja mal selber die JS-MD5 Implementierungen von http://pajhome.org.uk/crypt/md5/index.html test. Dort ist direkt eine Möglichkeit dazu. Bei mir funktioniert es mit beiden Browsern.

Das der IE7 bockt liegt wohl an meinem kleinen Part: http://pylucid.net/trac/browser/trunk/P ... assword.js

EDIT: Ich hab gerade mal nachgesehen... Es liegt wohl an getElementById... Muß mal rausfinden, wie es mit dem IE7 geht, dann sollte der Login auch dort funktionieren ;)

Edit: siehe: http://www.python-forum.de/topic-9471.html

Edit2: Ha! Fehler gefunden und behoben, siehe http://pylucid.net/trac/changeset/855
Nun klappt der Login auch mit dem IE7 ;)
N317V hat geschrieben:Du hättest Dir am allermeisten Arbeit erspart, wenn Du gesagt hättest: wer Verschlüsselung will, der soll https nehmen.
Das habe ich, siehe: http://www.python-forum.de/post-51445.html#51445 und http://pylucid.org/index.py/JSMD5Login/ :roll:

GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Der Punkt ist:
Das ganze funktioniert allerdings nur mit JavaScript.
Ein CMS, bei dem ich mich ohne JavaScript nicht einloggen kann, ist, was meine Bedürfnisse anbelangt, keines zweiten Blickes wert. Zumal ich auf der anderen Seite finanziell und strukturell in der Lage bin, mir nen eigenen Server mit Verschlüsselung zu leisten und somit das von jsmd5 gelöste Problem gar nicht habe. Deshalb werde ich mich bis auf Weiteres auch mit PyLucid nicht mehr befassen. Das darfst Du jetzt nicht persönlich nehmen. Das passt einfach nicht und das schon bevor ich es wirklich ausprobiert hab.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Übrigens gab es bei Host Europe mal einen SSL-Proxy für die mittelgroßen Angebote dazu, womit es für die meisten auf jeden Fall finanziell kein Problem sein dürfte.
Benutzeravatar
jens
Python-Forum Veteran
Beiträge: 8502
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Das Problem bei den SSL-Proxy ist allerdings, das SSL nur in eine Richtung da ist: Der Datenstrom vom Server zum Client. Anders herrum läuft es wieder unverschlüsselt ab. Das war zumindest bei Host-Europe so, damals.

@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar. Von daher sehe ich das nicht als so großes Problem an.
Wie gesagt, es wäre IMHO nicht viel Aufwand eine non-JS Variante zu bauen. Aber bisher habe ich persönlich keinen Grund dafür gesehen.

GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
lunar

Außerdem ermöglichen moderne Browser (zumindest Opera, Firefox mit NoScript und Konqueror), Javascript auf vertrauenswürdige Seiten einzuschränken.
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

jens hat geschrieben:@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Hat 'man' nicht, wenn man auf Sicherheit achtet (und genau dafür ist jsmd5 ja gedacht). Welche AJAX-Seiten? Ich hab immernoch nicht kapiert, wozu das gut sein soll. Wenn ich ein Problem auf einer Seite hab, dann such ich mir ne andere. Das Web ist groß.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Benutzeravatar
jens
Python-Forum Veteran
Beiträge: 8502
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Beispiele?

http://maps.google.de
http://www.lastfm.de
http://flickr.com

Aber du hast ja recht, normalerweise sollte man besser JS nur für bestimmte Seiten einschalten. Ich muß aber zugeben, das ich beim Firefox bequem bin und JS immer an hab. Beim IE7 ist es hingegen immer aus.

GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Keine dieser Seiten benutz ich. Versäum ich da was?

Übrigens: http://www.heise.de/newsticker/meldung/85351
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Benutzeravatar
jens
Python-Forum Veteran
Beiträge: 8502
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Jo, gutes timing ;)

Code: Alles auswählen

user_pref("capability.policy.default.Location.hostname.set", "noAccess");
Eingetragen und gut ist ;)

GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

jens hat geschrieben: @N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat.
Das sehe ich anders. Ich persönlich habe mehr den Eindruck, dass JavaScript heutzutage durch den Einsatz aktueller Browser zwar weitreichender verfügbar ist, aber durch gestiegendes Sicherheitsbewusstsein seitens der Nutzer zunehmend aktiv unterbunden wird.

Beliebte Dienste wie del.icio.us, Flickr, Google Maps und dergleichen habe ich auch erlaubt, aber der Rest wird von NoScript unterdrückt - und das erweist sich erschreckend häufig als gute Idee.

jens hat geschrieben:Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Und genau deswegen verzichte ich als Entwickler auf AJAX oder biete alternative Wege an.
Leonidas
Python-Forum Veteran
Beiträge: 16025
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Y0Gi hat geschrieben:
jens hat geschrieben:Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Und genau deswegen verzichte ich als Entwickler auf AJAX oder biete alternative Wege an.
Sehe ich auch so. Wenns doch wenigstens was bringen würde, dann ok. Aber einen sicheren Login kann man mit HTTPS bewerkstelligen, ohne JS, sogar noch besser, simpler und ohne dessen Probleme.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
Benutzeravatar
jens
Python-Forum Veteran
Beiträge: 8502
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Ich hab nun auch NoScript installiert, ist ja ein wirklich nettes Plugin ;)

Ich sehe das Problem nicht. Man kann doch wohl seine eigenen CMS-Seite in die JS-Ausnahme-Liste aufnehmen und fertig.

Im Übrigen erhält man natürlich auf der PyLucid-Login-Seite einen fetten Hinweis, das JS benötigt wird.

@Leonidas: Du wiederholst dich.

GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Leonidas
Python-Forum Veteran
Beiträge: 16025
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

jens hat geschrieben:Ich sehe das Problem nicht. Man kann doch wohl seine eigenen CMS-Seite in die JS-Ausnahme-Liste aufnehmen und fertig.
Es geht nicht darum, wie man das umgehen könnte sondern darum, dass du etwas implementierst, das mehr Probleme macht, als das es sie löst.
jens hat geschrieben:@Leonidas: Du wiederholst dich.
Und du siehst es immer noch nicht ein. Du hast ein Feature gebaut das nahezu niemand braucht (außer dir hat sowas niemand gebraucht), das zusätzliche Probleme verursacht und versuchst es nun zu rechtfertigen und stellst dich gegen die ganzen Gegenargumente taub.
Ist natürlich deine Sache, aber das man es nicht abschalten kann ist eine starke Einschränkung.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
Antworten