Sinn oder Unsinn des PyLucids JS-MD5-Login...
- birkenfeld
- Python-Forum Veteran
- Beiträge: 1603
- Registriert: Montag 20. März 2006, 15:29
- Wohnort: Die aufstrebende Universitätsstadt bei München
Dass Google so ziemlich das umständlichste Mittel ist, um schlechte Passwörter zu erkennen.
Nochmal ne doofe Frage hierzu: wenn ich Zugriff auf die darunter liegende Datenbank habe, wofür muss ich dann noch ein Passwort cracken?
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Weil bei PyLucid das nicht so einfach ist!N317V hat geschrieben:Nochmal ne doofe Frage hierzu: wenn ich Zugriff auf die darunter liegende Datenbank habe, wofür muss ich dann noch ein Passwort cracken?
Bei PyLucid steckt nicht einfach ein hash des Passwortes in der DB! Schau dir mal die Sache genauer an:
http://pylucid.org/index.py/JSMD5Login/
http://pylucid.org/index.py/PseudoCode/
Nö, jens, ich pfeif auf das Passwort und ändere einfach in der DB, was ich ändern will ohne mich über PyLucid einzuloggen, was ich ja auch gar nicht mehr muss, wenn ich schon anderweitig auf die DB zugreifen kann.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Das ist wohl klar. Wenn du lokalen Zugriff auf die Kiste hast, kannst du eh alles hacken...
Interessant ist es, wenn jemand eine SQL-Dump Datei in die Finger bekommt. Das ist ja schon nicht komplett undenkbar.
Dumm wäre es, wenn dann die Passwörter im Klartext oder als einfacher Hash-Wert drin stehen...
Interessant ist es, wenn jemand eine SQL-Dump Datei in die Finger bekommt. Das ist ja schon nicht komplett undenkbar.
Dumm wäre es, wenn dann die Passwörter im Klartext oder als einfacher Hash-Wert drin stehen...
Ja, als Admin und **nicht** als User Und das ist doch Normal das man als Admin auf das System vollen Zugriff hat mit z.B. phpMyAdmin. Ist bei vBulletin auch nicht anders oder bei phpBB, etc. Und das hat doch nichts mit dem zu tun was Jens angesprochen hat.N317V hat geschrieben:Nö, jens, ich pfeif auf das Passwort und ändere einfach in der DB, was ich ändern will ohne mich über PyLucid einzuloggen, was ich ja auch gar nicht mehr muss, wenn ich schon anderweitig auf die DB zugreifen kann.
Oder verstehe ich euch beide falsch?
- birkenfeld
- Python-Forum Veteran
- Beiträge: 1603
- Registriert: Montag 20. März 2006, 15:29
- Wohnort: Die aufstrebende Universitätsstadt bei München
Warum ist es dumm, wenn sie da als Hash drinstehen? Mit dem Hash kann man sich nicht einloggen. Könnte man das, bräuchte man den Aufwand mit dem Hashen ja gar nicht betreiben.
Da User in der Regel simple Passwörter haben, sollte man besonders leicht Erfolg beim Suchen der Hashes in Rainbowtables haben. Mit zunehmender Größe der vorberechneten Daten ist das aber noch weniger relevant.
Irgendwie erzeugt das jsmd5 eine halbsichere Lösung für den Fall, dass es irgendwo eine riesige Sicherheitslücke gibt (z.B. dass jemand falsches einen SQL-Dump in die Finger kriegt). Zudem setzt es Javascript voraus, das ja selbst immer wieder für Sicherheitsprobleme sorgt.
Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?
Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Noch nicht, weil es bisher keiner Nachgefragt hatteN317V hat geschrieben:Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?
Im Grunde klappt der Login auch super... z.Z. allerdings nicht im IE7, was aber wohl nur ein dummer JS Fehler ist.
Es wäre aber IMHO recht einfach ein PlainText Login zusätzlich zu realisieren. Aber da es bisher keiner wollte, mit mir eingeschlossen, wollte ich mir die zusätzliche Arbeit ersparen
Da wäre schon der nächste Punkt: Die teilweise gravierenden Unterschiede in der JS-Implementierung der Browser.jens hat geschrieben:Im Grunde klappt der Login auch super... z.Z. allerdings nicht im IE7, was aber wohl nur ein dummer JS Fehler ist.
Du hättest Dir am allermeisten Arbeit erspart, wenn Du gesagt hättest: wer Verschlüsselung will, der soll https nehmen. So teuer ist das auch wieder nicht.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Naja, das hält sich in Grenzen, weil ich nicht so viel mit JS mache.Y0Gi hat geschrieben:Die teilweise gravierenden Unterschiede in der JS-Implementierung der Browser.
Die MD5-Implementierung läuft IMHO auf allen Browsern. Du kannst ja mal selber die JS-MD5 Implementierungen von http://pajhome.org.uk/crypt/md5/index.html test. Dort ist direkt eine Möglichkeit dazu. Bei mir funktioniert es mit beiden Browsern.
Das der IE7 bockt liegt wohl an meinem kleinen Part: http://pylucid.net/trac/browser/trunk/P ... assword.js
EDIT: Ich hab gerade mal nachgesehen... Es liegt wohl an getElementById... Muß mal rausfinden, wie es mit dem IE7 geht, dann sollte der Login auch dort funktionieren
Edit: siehe: http://www.python-forum.de/topic-9471.html
Edit2: Ha! Fehler gefunden und behoben, siehe http://pylucid.net/trac/changeset/855
Nun klappt der Login auch mit dem IE7
Das habe ich, siehe: http://www.python-forum.de/post-51445.html#51445 und http://pylucid.org/index.py/JSMD5Login/N317V hat geschrieben:Du hättest Dir am allermeisten Arbeit erspart, wenn Du gesagt hättest: wer Verschlüsselung will, der soll https nehmen.
Der Punkt ist:
Ein CMS, bei dem ich mich ohne JavaScript nicht einloggen kann, ist, was meine Bedürfnisse anbelangt, keines zweiten Blickes wert. Zumal ich auf der anderen Seite finanziell und strukturell in der Lage bin, mir nen eigenen Server mit Verschlüsselung zu leisten und somit das von jsmd5 gelöste Problem gar nicht habe. Deshalb werde ich mich bis auf Weiteres auch mit PyLucid nicht mehr befassen. Das darfst Du jetzt nicht persönlich nehmen. Das passt einfach nicht und das schon bevor ich es wirklich ausprobiert hab.Das ganze funktioniert allerdings nur mit JavaScript.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Das Problem bei den SSL-Proxy ist allerdings, das SSL nur in eine Richtung da ist: Der Datenstrom vom Server zum Client. Anders herrum läuft es wieder unverschlüsselt ab. Das war zumindest bei Host-Europe so, damals.
@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar. Von daher sehe ich das nicht als so großes Problem an.
Wie gesagt, es wäre IMHO nicht viel Aufwand eine non-JS Variante zu bauen. Aber bisher habe ich persönlich keinen Grund dafür gesehen.
@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar. Von daher sehe ich das nicht als so großes Problem an.
Wie gesagt, es wäre IMHO nicht viel Aufwand eine non-JS Variante zu bauen. Aber bisher habe ich persönlich keinen Grund dafür gesehen.
Außerdem ermöglichen moderne Browser (zumindest Opera, Firefox mit NoScript und Konqueror), Javascript auf vertrauenswürdige Seiten einzuschränken.
Hat 'man' nicht, wenn man auf Sicherheit achtet (und genau dafür ist jsmd5 ja gedacht). Welche AJAX-Seiten? Ich hab immernoch nicht kapiert, wozu das gut sein soll. Wenn ich ein Problem auf einer Seite hab, dann such ich mir ne andere. Das Web ist groß.jens hat geschrieben:@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Beispiele?
http://maps.google.de
http://www.lastfm.de
http://flickr.com
Aber du hast ja recht, normalerweise sollte man besser JS nur für bestimmte Seiten einschalten. Ich muß aber zugeben, das ich beim Firefox bequem bin und JS immer an hab. Beim IE7 ist es hingegen immer aus.
http://maps.google.de
http://www.lastfm.de
http://flickr.com
Aber du hast ja recht, normalerweise sollte man besser JS nur für bestimmte Seiten einschalten. Ich muß aber zugeben, das ich beim Firefox bequem bin und JS immer an hab. Beim IE7 ist es hingegen immer aus.
Keine dieser Seiten benutz ich. Versäum ich da was?
Übrigens: http://www.heise.de/newsticker/meldung/85351
Übrigens: http://www.heise.de/newsticker/meldung/85351
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt
Außerdem gibt es eine irrationale.
Wie man Fragen richtig stellt