Das deutsche Python-Forum

Viel interessanter ist es doch gleich die gesamte Anwendung in Javascript zu schreiben und CouchDB als Server zu nutzen

Dass es die Anwendung nicht sicherer macht ist ja eigentlich klar, es würde halt nur soviel bringen, dass man so nicht das "echte" Passwort kriegt...

Dauerbaustelle hat geschrieben:Er kennt aber das Plaintext-Passwort nicht. Und wenn man abwägt, dass man mit Plaintext-Auth keine Vorteile und mit Hashauth mindestens diesen einen, dann weiß man auch schon, was man verwenden sollte

Solange 90% der Seite einen User die Email-Adresse (und über email lässt sich dann das passwort ändern…) ohne Passworteingabe ändern lassen bringt es genug nichts

Dauerbaustelle hat geschrieben:Wo ist das Problem?

Der Javascript-Code, welchen der Client ausführt, ist nicht unbedingt identisch mit dem, den der Server versendet hat ... denn dazwischen sitzt ja der "man in the middle", der daran fleißig herum-manipulieren kann. Wenn der Angreifer nun wirklich am Passwort interessiert ist, wird er natürlich dafür sorgen, dass der Client Javascript erhält, welches das Passwort im Klartext sendet.

Edit: Das versprochene Beispiel zur Verwendung von repoze.what.

lunar hat geschrieben:Edit: Das versprochene Beispiel zur Verwendung von repoze.what.

Morgen,

ich gucke mir gerade auch mal Authentifizierung an, und da ist so ein Beispiel ja immer schön, aber bevor ich mich jetzt total verrenne: soll das Beispiel voll funktionsfähig sein? Bei mir klappt das mit dem Login nämlich nicht.
Oder fehlt da noch ein wichtiger Teil?

Das if not_anonymous().is_met(request.environ): gibt (bei mir) immer False zurück, auch wenn validate_password True ist.

Habe ich da irgendwas übersehen?

Schon mal danke...

Als ich das Beispiel erstellt habe, hat es funktioniert. Mittlerweile funktioniert es auch bei mir nicht mehr.

Ich habe seitdem nicht mehr mit repoze.what gearbeitet, und es hat sich in der Zwischenzeit offenbar einiges geändert. Teile der Bibliothek haben schon lange keine Änderung mehr erfahren, bei wichtigen Plugins, die auch im Beispiel Verwendung finden, ist die Website nicht mehr existent, usw.

Ich würde repoze.what heute nicht mehr einsetzen und auch nicht mehr empfehlen. Insofern habe ich auch keine große Lust, das Beispiel zu korrigieren. Da es offensichtlich fehlerhaft ist, habe ich es gelöscht …

Suche Dir eine andere Bibliothek.

Hi,

danke für deine Antwort.
Darf ich fragen, welche Bibliothek du empfehlen würdest?

Ich habe keine Ahnung, welche Bibliothek geeignet wäre, vor einem Jahr habe ich mich das letzte mal überhaupt mit diesem Thema bzw. Webprogramming im Allgemeinen beschäftigt … ich weiß nicht mal, welche Bibliotheken es überhaupt noch gibt.

Okay, danke für deine Antwort.

Hier im Forum wurde öfter auch mal barrel empfohlen - aber da stimmt die URL von PYPI nicht mehr.

Ansonsten wäre Authkit evtl. eine Option? Da scheint sich auch in Sachen Doku aktuell einiges zu tun.

Ich habe mir mal Authkit und jetzt auch bottle angesehen, klappt aber auch noch nicht so einfach, wie ich es erhofft hatte: http://www.python-forum.de/post-163248.html