WSGIarea online

Leonidas · Mittwoch 9. November 2005, 20:38

henning hat geschrieben:Man könnte das -- sofern man das performance-mäßig für gerechtfertigt hält -- sogar zu nem richtigen dependency-manager ausbauen... oder hatte ich dein Problem falsch verstanden?

Ich habe immer eher gedacht, dass so eine Middleware eher eine Art Filter ist, so habe ich Ian Bicking verstanden. So ähnliche Filter wie sie CherryPy bietet, also Vergleichbar mit Shell-Pipes.

jens · Dienstag 15. November 2005, 18:54

blackbird hat geschrieben:Mir ist erst im Nachinein gekommen, dass ich (wenn alles andere glatt läuft) nicht wissen muss, wie ich auf eine middleware zugreife, die kann sich nämlich, wenn sie muss in das environ eintragen.
So mach ich das beispielsweise mit der CookieMiddleware

Ich glaube die environ-Geschichte ist recht ähnlich wie ich bei PyLucid ein Dict immer weiter gebe, in dem die Objekte drin sind, die PyLucid ausmachen. (s. TracWiki Eintrag)

Ich hab übrigends vielleicht das erste kleine Projekt, mit dem ich mich mit WSGI mal praktisch auseinander setzten kann... Ich bräuchte ein CGI-Upload-Center.
Das ist ja nicht weiter schwer zu realisieren... Ich könnte vielleicht erstmal mit Apache's .access, für den Login, verwenden... Später wäre allerdings ein Login mit meinem md5-JS-login schön

Dazu brauche ich natürlich ein Session-Management... Allerdings hab ich auf dem Server, auf dem ich das machen will, zwar Python, aber keine DB

Somit kann ich nicht einfach das PyLucid-SQL-Sessionhandling nutzten... Ich müßte zumindest irgendwie ein Flat-File-Modus einbauen...

mitsuhiko · Dienstag 15. November 2005, 20:21

jens hat geschrieben:
blackbird hat geschrieben:Mir ist erst im Nachinein gekommen, dass ich (wenn alles andere glatt läuft) nicht wissen muss, wie ich auf eine middleware zugreife, die kann sich nämlich, wenn sie muss in das environ eintragen.
So mach ich das beispielsweise mit der CookieMiddleware
Ich glaube die environ-Geschichte ist recht ähnlich wie ich bei PyLucid ein Dict immer weiter gebe, in dem die Objekte drin sind, die PyLucid ausmachen. (s. TracWiki Eintrag)

Ich hab übrigends vielleicht das erste kleine Projekt, mit dem ich mich mit WSGI mal praktisch auseinander setzten kann... Ich bräuchte ein CGI-Upload-Center.
Das ist ja nicht weiter schwer zu realisieren... Ich könnte vielleicht erstmal mit Apache's .access, für den Login, verwenden... Später wäre allerdings ein Login mit meinem md5-JS-login schön Dazu brauche ich natürlich ein Session-Management... Allerdings hab ich auf dem Server, auf dem ich das machen will, zwar Python, aber keine DB Somit kann ich nicht einfach das PyLucid-SQL-Sessionhandling nutzten... Ich müßte zumindest irgendwie ein Flat-File-Modus einbauen...

Für Datei Uploads gibt auch ein Example. Dito Sessions.
Den MD5 Login, der ist leider sinnlos, weil ob dein passwort jetzt als md5 versendet wird oder als plaintext ist egal, beidemale muss man nur sniffen. Um eine Verschlüsselung kommt man nicht rum...

jens · Dienstag 15. November 2005, 20:31

blackbird hat geschrieben:Für Datei Uploads gibt auch ein Example. Dito Sessions.
Den MD5 Login, der ist leider sinnlos, weil ob dein passwort jetzt als md5 versendet wird oder als plaintext ist egal, beidemale muss man nur sniffen. Um eine Verschlüsselung kommt man nicht rum...

Bei einer normalen MD5 übermittlung schon... Aber du kennst offensichtlich nicht meine MD5-JS-Variante! Schau dir mal den "Ablaufplan" genauer an:
http://jensdiemer.de/Programmieren/Pyth ... -MD5-Login

Funktioniert die Session-Verwaltung auch mit flatfiles???

mitsuhiko · Dienstag 15. November 2005, 21:33

jens hat geschrieben:
blackbird hat geschrieben:Für Datei Uploads gibt auch ein Example. Dito Sessions.
Den MD5 Login, der ist leider sinnlos, weil ob dein passwort jetzt als md5 versendet wird oder als plaintext ist egal, beidemale muss man nur sniffen. Um eine Verschlüsselung kommt man nicht rum...
Bei einer normalen MD5 übermittlung schon... Aber du kennst offensichtlich nicht meine MD5-JS-Variante! Schau dir mal den "Ablaufplan" genauer an:
http://jensdiemer.de/Programmieren/Pyth ... -MD5-Login

Aber dein Problem an der Sache ist, dass zwar ein md5 string übertragen wird, aber da dieser schon auf der client seite so eingegeben wird, kann er den hash hijacken und ihn später direkt so übertragen.
Er braucht das klartext passwort nicht, er überträgt einfach den hash.

jens hat geschrieben:Funktioniert die Session-Verwaltung auch mit flatfiles???

Klar. Du könntest sie aber auch auf mysql umstellen.

//EDIT: sehe, dein system dürfte funktionieren

henning · Mittwoch 16. November 2005, 07:47

Statt dem ganzen selbstgebratenen md5-geraffel kann man doch den login über https laufen lassen, oder?
Sollte AFAIK Diffie-Hellmann nutzen, dessen Sicherheit (zumindest derzeit) als unumstritten gilt.

jens · Mittwoch 16. November 2005, 08:36

Das ist ja wohl völlig klar... Nur bei wechlem normalen WebSpace ist https dabei??? Ich hab keins!

Höchstens bei vServern/rootServer kann man sich mal eben ein eigenes Zertifikat basteln... Aber auch da kostet ein "echtes" richtig Geld...

Leonidas · Mittwoch 16. November 2005, 11:30

jens hat geschrieben:Höchstens bei vServern/rootServer kann man sich mal eben ein eigenes Zertifikat basteln... Aber auch da kostet ein "echtes" richtig Geld...

Du must es ja auch nicht von Verisign unterzeichnen lassen. Bei einem selbst signiertem kommt zwar eine Warnung, jedoch ist das Zertifikat dadurch nicht wirklich unsicherer.

henning · Mittwoch 16. November 2005, 17:28

Dann bleibt dir natürlich noch die Möglichkeit, selbst ne no-key-kryptografie zu basteln, wenn dir das den Sicherheitsgewinn Wert ist.
(Verfahren siehe http://www.iti.fh-flensburg.de/lang/kry ... rNoKey.htm)

Wenn du das machen solltest, würd ich gerne den fertigen Code sehen