Das erinnert mich an http://projecteuler.net/index.php?secti ... lems&id=79 *g*
Wobei du es noch etwas einfacher machst.
Das SkriptArchiv
Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.
Man kann auch einfach SSL/TLS nutzen.Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?
- Sr4l
- User
- Beiträge: 1091
- Registriert: Donnerstag 28. Dezember 2006, 20:02
- Wohnort: Kassel
- Kontaktdaten:
Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?lunar hat geschrieben:Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.
HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."lunar hat geschrieben:Man kann auch einfach SSL/TLS nutzen.Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?
Die Seite ist eine echter Freizeitvernichter.veers hat geschrieben: http://projecteuler.net/
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
CACert existiert. Ich denke immer noch, dass schließlich deren Zertifikate über kurz oder lang in die Browser aufgenommen werden.Sr4l hat geschrieben:HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
- veers
- User
- Beiträge: 1219
- Registriert: Mittwoch 28. Februar 2007, 20:01
- Wohnort: Zürich (CH)
- Kontaktdaten:
Eine Firma sollte a) ein eigenes Root Zertifikat haben, b) sollte sie die 100€ für ein Zertifikat noch verkraften können.Sr4l hat geschrieben:HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."lunar hat geschrieben:Man kann auch einfach SSL/TLS nutzen.Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
SSL/TLS. Ohne Transportverschlüsselung muss man sicherstellen, dass das Passwort niemals ungehasht verschickt wird, und das ist bei Javascript-Zeug, HTTP-Authentifizierung und den meisten SASL-Implementierungen nicht der Fall.Sr4l hat geschrieben:Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?lunar hat geschrieben:Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.
Bei einer privaten Seite tut es das.lunar hat geschrieben:HTTPS ohne ein teuer gekauftest Zertifikat?
In einer Firma, die sich weder eine eigene CA aufbaut noch Geld in ein Zertifikat investieren will, läuft was schief in der IT-Sicherheit.Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."
Edit: Grammatik
Zuletzt geändert von lunar am Donnerstag 11. September 2008, 16:14, insgesamt 1-mal geändert.
Ah verdammt wie schnell sich doch da Fehler/Unsicherheiten einschleichenveers hat geschrieben:Viel besser ist die auch nicht. Grundsätzlich hast du eine 1:100 Chance das der hash d41d8cd98f00b204e9800998ecf8427e sein wird. Dann eine 1:99 Chance das er auf einem Zeichen von 0-127 basiert usw.foidepp hat geschrieben:Stimmt, ich habe sie neu geschrieben.
Ich mach statt rand(0,100) mal lieber rand(10,100)....
Und ansonsten kann ich mich zur Diskussion über Sicherheit nur so äußern,
dass "mein Script" sicher nicht das beste und sicherste ist, aber dass auch nicht jeder Programmierer im Internet genug Geld für ein Zertifikat hat...
Man muss diese Methode ja nicht verwenden, man kann beim Lesen ja auch schön AJAX lernen
Das kann man ja zusätzlich noch machen.Du gewinnst ähnlich viel Sicherheit wenn du die Formfelder anstelle von Username und Passwort, Hans und Peter nennst. Sie werden beim großangelegten automatischen Passwortsniffen nicht gefunden. Bei einem gezielten Angriff sind sie jedoch nutzlos.
MfG
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Selbstsignierte Zertifikate existieren und sind von der Datensicherheit gleichwertig zu "gekauften".foidepp hat geschrieben:Und ansonsten kann ich mich zur Diskussion über Sicherheit nur so äußern,
dass "mein Script" sicher nicht das beste und sicherste ist, aber dass auch nicht jeder Programmierer im Internet genug Geld für ein Zertifikat hat...
Ja, vielleicht. Aber so ziemlich jeder der nicht auf den Kopf gefallen ist, wird für den Produktiveinsatz eine entsprechende Library verwenden, die AJAX-Funktionalität mitbringt.foidepp hat geschrieben:Man muss diese Methode ja nicht verwenden, man kann beim Lesen ja auch schön AJAX lernen
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice