Seite 1 von 2
Verfasst: Dienstag 9. September 2008, 19:24
von veers
Das erinnert mich an
http://projecteuler.net/index.php?secti ... lems&id=79 *g*
Wobei du es noch etwas einfacher machst.
Verfasst: Dienstag 9. September 2008, 19:58
von lunar
Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.
Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.
Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?
Man kann auch einfach SSL/TLS nutzen.
Verfasst: Dienstag 9. September 2008, 21:22
von Sr4l
lunar hat geschrieben:Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.
Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.
Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?
lunar hat geschrieben:Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?
Man kann auch einfach SSL/TLS nutzen.
HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."
Die Seite ist eine echter Freizeitvernichter.
Verfasst: Dienstag 9. September 2008, 21:27
von Leonidas
Sr4l hat geschrieben:HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."
CACert existiert. Ich denke immer noch, dass schließlich deren Zertifikate über kurz oder lang in die Browser aufgenommen werden.
Verfasst: Dienstag 9. September 2008, 22:46
von veers
Sr4l hat geschrieben:lunar hat geschrieben:Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ?
Man kann auch einfach SSL/TLS nutzen.
HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."
Eine Firma sollte a) ein eigenes Root Zertifikat haben, b) sollte sie die 100€ für ein Zertifikat noch verkraften können.
Verfasst: Mittwoch 10. September 2008, 18:56
von lunar
Sr4l hat geschrieben:lunar hat geschrieben:Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.
Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.
Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?
SSL/TLS. Ohne Transportverschlüsselung muss man sicherstellen, dass das Passwort niemals ungehasht verschickt wird, und das ist bei Javascript-Zeug, HTTP-Authentifizierung und den meisten SASL-Implementierungen nicht der Fall.
lunar hat geschrieben:HTTPS ohne ein teuer gekauftest Zertifikat?
Bei einer privaten Seite tut es das.
Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."
In einer Firma, die sich weder eine eigene CA aufbaut noch Geld in ein Zertifikat investieren will, läuft was schief in der IT-Sicherheit.
Edit: Grammatik
Verfasst: Donnerstag 11. September 2008, 07:43
von foidepp
veers hat geschrieben:
foidepp hat geschrieben:Stimmt, ich habe sie neu geschrieben.
Viel besser ist die auch nicht. Grundsätzlich hast du eine 1:100 Chance das der hash d41d8cd98f00b204e9800998ecf8427e sein wird. Dann eine 1:99 Chance das er auf einem Zeichen von 0-127 basiert usw.
Ah verdammt wie schnell sich doch da Fehler/Unsicherheiten einschleichen
Ich mach statt rand(0,100) mal lieber rand(10,100)....
Und ansonsten kann ich mich zur Diskussion über Sicherheit nur so äußern,
dass "mein Script" sicher nicht das beste und sicherste ist, aber dass auch nicht jeder Programmierer im Internet genug Geld für ein Zertifikat hat...
Man muss diese Methode ja nicht verwenden, man kann beim Lesen ja auch schön AJAX lernen
Du gewinnst ähnlich viel Sicherheit wenn du die Formfelder anstelle von Username und Passwort, Hans und Peter nennst. Sie werden beim großangelegten automatischen Passwortsniffen nicht gefunden. Bei einem gezielten Angriff sind sie jedoch nutzlos.
Das kann man ja zusätzlich noch machen.
MfG
Verfasst: Donnerstag 11. September 2008, 14:52
von Leonidas
foidepp hat geschrieben:Und ansonsten kann ich mich zur Diskussion über Sicherheit nur so äußern,
dass "mein Script" sicher nicht das beste und sicherste ist, aber dass auch nicht jeder Programmierer im Internet genug Geld für ein Zertifikat hat...
Selbstsignierte Zertifikate existieren und sind von der Datensicherheit gleichwertig zu "gekauften".
foidepp hat geschrieben:Man muss diese Methode ja nicht verwenden, man kann beim Lesen ja auch schön AJAX lernen
Ja, vielleicht. Aber so ziemlich jeder der nicht auf den Kopf gefallen ist, wird für den Produktiveinsatz eine entsprechende Library verwenden, die AJAX-Funktionalität mitbringt.