Das SkriptArchiv

Stellt hier eure Projekte vor.
Internetseiten, Skripte, und alles andere bzgl. Python.
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:

Beitragvon veers » Dienstag 9. September 2008, 19:24

Das erinnert mich an http://projecteuler.net/index.php?secti ... lems&id=79 *g*
Wobei du es noch etwas einfacher machst.
My Website - 29a.ch
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
lunar

Beitragvon lunar » Dienstag 9. September 2008, 19:58

Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.

Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.

Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ? ;-)

Man kann auch einfach SSL/TLS nutzen.
Benutzeravatar
Sr4l
User
Beiträge: 1091
Registriert: Donnerstag 28. Dezember 2006, 20:02
Wohnort: Kassel
Kontaktdaten:

Beitragvon Sr4l » Dienstag 9. September 2008, 21:22

lunar hat geschrieben:
Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.

Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.

Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?

lunar hat geschrieben:
Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ? ;-)

Man kann auch einfach SSL/TLS nutzen.

HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist." ;-)


veers hat geschrieben: http://projecteuler.net/

Die Seite ist eine echter Freizeitvernichter. ;-)
Benutzeravatar
Leonidas
Administrator
Beiträge: 16023
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Beitragvon Leonidas » Dienstag 9. September 2008, 21:27

Sr4l hat geschrieben:HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist." ;-)

CACert existiert. Ich denke immer noch, dass schließlich deren Zertifikate über kurz oder lang in die Browser aufgenommen werden.
My god, it's full of CARs! | Leonidasvoice vs Modvoice
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:

Beitragvon veers » Dienstag 9. September 2008, 22:46

Sr4l hat geschrieben:
lunar hat geschrieben:
Bei intelligenten Nutzern, oder welchen die immer einen Taschenrechner zur Hand haben, könnt ihr sie auch eine mathematische Funktion eingeben lassen, die z.B ein "x" enthalten muss und ihr sagt ihnen beim Login ein X Wert und sie müssen das Ergebnis eintippen zu ihrer eigenen Funktion, das wäre was oder ? ;-)

Man kann auch einfach SSL/TLS nutzen.

HTTPS ohne ein teuer gekauftest Zertifikat? Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist." ;-)
Eine Firma sollte a) ein eigenes Root Zertifikat haben, b) sollte sie die 100€ für ein Zertifikat noch verkraften können.
My Website - 29a.ch

"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
lunar

Beitragvon lunar » Mittwoch 10. September 2008, 18:56

Sr4l hat geschrieben:
lunar hat geschrieben:
Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.

Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.

Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?

SSL/TLS. Ohne Transportverschlüsselung muss man sicherstellen, dass das Passwort niemals ungehasht verschickt wird, und das ist bei Javascript-Zeug, HTTP-Authentifizierung und den meisten SASL-Implementierungen nicht der Fall.

lunar hat geschrieben:HTTPS ohne ein teuer gekauftest Zertifikat?

Bei einer privaten Seite tut es das.

Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist." ;-)

In einer Firma, die sich weder eine eigene CA aufbaut noch Geld in ein Zertifikat investieren will, läuft was schief in der IT-Sicherheit.

Edit: Grammatik ;)
Zuletzt geändert von lunar am Donnerstag 11. September 2008, 16:14, insgesamt 1-mal geändert.
foidepp
User
Beiträge: 2
Registriert: Donnerstag 14. August 2008, 19:32

Beitragvon foidepp » Donnerstag 11. September 2008, 07:43

veers hat geschrieben:
foidepp hat geschrieben:Stimmt, ich habe sie neu geschrieben.


Viel besser ist die auch nicht. Grundsätzlich hast du eine 1:100 Chance das der hash d41d8cd98f00b204e9800998ecf8427e sein wird. Dann eine 1:99 Chance das er auf einem Zeichen von 0-127 basiert usw. ;)


Ah verdammt wie schnell sich doch da Fehler/Unsicherheiten einschleichen ;-)
Ich mach statt rand(0,100) mal lieber rand(10,100)....

Und ansonsten kann ich mich zur Diskussion über Sicherheit nur so äußern,
dass "mein Script" sicher nicht das beste und sicherste ist, aber dass auch nicht jeder Programmierer im Internet genug Geld für ein Zertifikat hat...
Man muss diese Methode ja nicht verwenden, man kann beim Lesen ja auch schön AJAX lernen ;-)

Du gewinnst ähnlich viel Sicherheit wenn du die Formfelder anstelle von Username und Passwort, Hans und Peter nennst. Sie werden beim großangelegten automatischen Passwortsniffen nicht gefunden. Bei einem gezielten Angriff sind sie jedoch nutzlos.


Das kann man ja zusätzlich noch machen.

MfG
Benutzeravatar
Leonidas
Administrator
Beiträge: 16023
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Beitragvon Leonidas » Donnerstag 11. September 2008, 14:52

foidepp hat geschrieben:Und ansonsten kann ich mich zur Diskussion über Sicherheit nur so äußern,
dass "mein Script" sicher nicht das beste und sicherste ist, aber dass auch nicht jeder Programmierer im Internet genug Geld für ein Zertifikat hat...

Selbstsignierte Zertifikate existieren und sind von der Datensicherheit gleichwertig zu "gekauften".

foidepp hat geschrieben:Man muss diese Methode ja nicht verwenden, man kann beim Lesen ja auch schön AJAX lernen ;-)

Ja, vielleicht. Aber so ziemlich jeder der nicht auf den Kopf gefallen ist, wird für den Produktiveinsatz eine entsprechende Library verwenden, die AJAX-Funktionalität mitbringt.
My god, it's full of CARs! | Leonidasvoice vs Modvoice

Wer ist online?

Mitglieder in diesem Forum: Freumel