Das SkriptArchiv

[veers]

Das erinnert mich an http://projecteuler.net/index.php?secti ... lems&id=79 *g*
Wobei du es noch etwas einfacher machst.

[lunar]

Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.

Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.

Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?

Man kann auch einfach SSL/TLS nutzen.

[Sr4l]

Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.

Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.

Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?

Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?

Man kann auch einfach SSL/TLS nutzen.

HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."

http://projecteuler.net/

Die Seite ist eine echter Freizeitvernichter.

[Leonidas]

HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."

CACert existiert. Ich denke immer noch, dass schließlich deren Zertifikate über kurz oder lang in die Browser aufgenommen werden.

[veers]

Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?

Man kann auch einfach SSL/TLS nutzen.

HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."

Eine Firma sollte a) ein eigenes Root Zertifikat haben, b) sollte sie die 100€ für ein Zertifikat noch verkraften können.

[lunar]

Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.

Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.

Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?

SSL/TLS. Ohne Transportverschlüsselung muss man sicherstellen, dass das Passwort niemals ungehasht verschickt wird, und das ist bei Javascript-Zeug, HTTP-Authentifizierung und den meisten SASL-Implementierungen nicht der Fall.

HTTPS ohne ein teuer gekauftest Zertifikat?

Bei einer privaten Seite tut es das.

Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."

In einer Firma, die sich weder eine eigene CA aufbaut noch Geld in ein Zertifikat investieren will, läuft was schief in der IT-Sicherheit.

Edit: Grammatik

[foidepp]

Stimmt, ich habe sie neu geschrieben.

Viel besser ist die auch nicht. Grundsätzlich hast du eine 1:100 Chance das der hash d41d8cd98f00b204e9800998ecf8427e sein wird. Dann eine 1:99 Chance das er auf einem Zeichen von 0-127 basiert usw.

Ah verdammt wie schnell sich doch da Fehler/Unsicherheiten einschleichen
Ich mach statt rand(0,100) mal lieber rand(10,100)....

Und ansonsten kann ich mich zur Diskussion über Sicherheit nur so äußern,
dass "mein Script" sicher nicht das beste und sicherste ist, aber dass auch nicht jeder Programmierer im Internet genug Geld für ein Zertifikat hat...
Man muss diese Methode ja nicht verwenden, man kann beim Lesen ja auch schön AJAX lernen

Du gewinnst ähnlich viel Sicherheit wenn du die Formfelder anstelle von Username und Passwort, Hans und Peter nennst. Sie werden beim großangelegten automatischen Passwortsniffen nicht gefunden. Bei einem gezielten Angriff sind sie jedoch nutzlos.

Das kann man ja zusätzlich noch machen.

MfG

[Leonidas]

Und ansonsten kann ich mich zur Diskussion über Sicherheit nur so äußern,
dass "mein Script" sicher nicht das beste und sicherste ist, aber dass auch nicht jeder Programmierer im Internet genug Geld für ein Zertifikat hat...

Selbstsignierte Zertifikate existieren und sind von der Datensicherheit gleichwertig zu "gekauften".

Man muss diese Methode ja nicht verwenden, man kann beim Lesen ja auch schön AJAX lernen

Ja, vielleicht. Aber so ziemlich jeder der nicht auf den Kopf gefallen ist, wird für den Produktiveinsatz eine entsprechende Library verwenden, die AJAX-Funktionalität mitbringt.