Sinn oder Unsinn des PyLucids JS-MD5-Login...

Sockets, TCP/IP, (XML-)RPC und ähnliche Themen gehören in dieses Forum
sape
User
Beiträge: 1157
Registriert: Sonntag 3. September 2006, 12:52

Montag 12. Februar 2007, 12:09

N317V hat geschrieben:Nö, jens, ich pfeif auf das Passwort und ändere einfach in der DB, was ich ändern will ohne mich über PyLucid einzuloggen, was ich ja auch gar nicht mehr muss, wenn ich schon anderweitig auf die DB zugreifen kann.
Ja, als Admin und **nicht** als User ;) Und das ist doch Normal das man als Admin auf das System vollen Zugriff hat mit z.B. phpMyAdmin. Ist bei vBulletin auch nicht anders oder bei phpBB, etc. Und das hat doch nichts mit dem zu tun was Jens angesprochen hat.

Oder verstehe ich euch beide falsch?
Benutzeravatar
birkenfeld
Python-Forum Veteran
Beiträge: 1603
Registriert: Montag 20. März 2006, 15:29
Wohnort: Die aufstrebende Universitätsstadt bei München

Montag 12. Februar 2007, 12:11

Warum ist es dumm, wenn sie da als Hash drinstehen? Mit dem Hash kann man sich nicht einloggen. Könnte man das, bräuchte man den Aufwand mit dem Hashen ja gar nicht betreiben.
Dann lieber noch Vim 7 als Windows 7.

http://pythonic.pocoo.org/
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Montag 12. Februar 2007, 13:14

Da User in der Regel simple Passwörter haben, sollte man besonders leicht Erfolg beim Suchen der Hashes in Rainbowtables haben. Mit zunehmender Größe der vorberechneten Daten ist das aber noch weniger relevant.
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Montag 12. Februar 2007, 14:58

Irgendwie erzeugt das jsmd5 eine halbsichere Lösung für den Fall, dass es irgendwo eine riesige Sicherheitslücke gibt (z.B. dass jemand falsches einen SQL-Dump in die Finger kriegt). Zudem setzt es Javascript voraus, das ja selbst immer wieder für Sicherheitsprobleme sorgt.

Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Montag 12. Februar 2007, 15:12

N317V hat geschrieben:Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?
Noch nicht, weil es bisher keiner Nachgefragt hatte ;)

Im Grunde klappt der Login auch super... z.Z. allerdings nicht im IE7, was aber wohl nur ein dummer JS Fehler ist.

Es wäre aber IMHO recht einfach ein PlainText Login zusätzlich zu realisieren. Aber da es bisher keiner wollte, mit mir eingeschlossen, wollte ich mir die zusätzliche Arbeit ersparen ;)

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Montag 12. Februar 2007, 18:57

jens hat geschrieben:Im Grunde klappt der Login auch super... z.Z. allerdings nicht im IE7, was aber wohl nur ein dummer JS Fehler ist.
Da wäre schon der nächste Punkt: Die teilweise gravierenden Unterschiede in der JS-Implementierung der Browser.
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Dienstag 13. Februar 2007, 08:21

Du hättest Dir am allermeisten Arbeit erspart, wenn Du gesagt hättest: wer Verschlüsselung will, der soll https nehmen. So teuer ist das auch wieder nicht.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Dienstag 13. Februar 2007, 09:17

Y0Gi hat geschrieben:Die teilweise gravierenden Unterschiede in der JS-Implementierung der Browser.
Naja, das hält sich in Grenzen, weil ich nicht so viel mit JS mache.

Die MD5-Implementierung läuft IMHO auf allen Browsern. Du kannst ja mal selber die JS-MD5 Implementierungen von http://pajhome.org.uk/crypt/md5/index.html test. Dort ist direkt eine Möglichkeit dazu. Bei mir funktioniert es mit beiden Browsern.

Das der IE7 bockt liegt wohl an meinem kleinen Part: http://pylucid.net/trac/browser/trunk/P ... assword.js

EDIT: Ich hab gerade mal nachgesehen... Es liegt wohl an getElementById... Muß mal rausfinden, wie es mit dem IE7 geht, dann sollte der Login auch dort funktionieren ;)

Edit: siehe: http://www.python-forum.de/topic-9471.html

Edit2: Ha! Fehler gefunden und behoben, siehe http://pylucid.net/trac/changeset/855
Nun klappt der Login auch mit dem IE7 ;)
N317V hat geschrieben:Du hättest Dir am allermeisten Arbeit erspart, wenn Du gesagt hättest: wer Verschlüsselung will, der soll https nehmen.
Das habe ich, siehe: http://www.python-forum.de/post-51445.html#51445 und http://pylucid.org/index.py/JSMD5Login/ :roll:

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Mittwoch 14. Februar 2007, 17:57

Der Punkt ist:
Das ganze funktioniert allerdings nur mit JavaScript.
Ein CMS, bei dem ich mich ohne JavaScript nicht einloggen kann, ist, was meine Bedürfnisse anbelangt, keines zweiten Blickes wert. Zumal ich auf der anderen Seite finanziell und strukturell in der Lage bin, mir nen eigenen Server mit Verschlüsselung zu leisten und somit das von jsmd5 gelöste Problem gar nicht habe. Deshalb werde ich mich bis auf Weiteres auch mit PyLucid nicht mehr befassen. Das darfst Du jetzt nicht persönlich nehmen. Das passt einfach nicht und das schon bevor ich es wirklich ausprobiert hab.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Mittwoch 14. Februar 2007, 19:16

Übrigens gab es bei Host Europe mal einen SSL-Proxy für die mittelgroßen Angebote dazu, womit es für die meisten auf jeden Fall finanziell kein Problem sein dürfte.
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Donnerstag 15. Februar 2007, 10:33

Das Problem bei den SSL-Proxy ist allerdings, das SSL nur in eine Richtung da ist: Der Datenstrom vom Server zum Client. Anders herrum läuft es wieder unverschlüsselt ab. Das war zumindest bei Host-Europe so, damals.

@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar. Von daher sehe ich das nicht als so großes Problem an.
Wie gesagt, es wäre IMHO nicht viel Aufwand eine non-JS Variante zu bauen. Aber bisher habe ich persönlich keinen Grund dafür gesehen.

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
lunar

Donnerstag 15. Februar 2007, 11:04

Außerdem ermöglichen moderne Browser (zumindest Opera, Firefox mit NoScript und Konqueror), Javascript auf vertrauenswürdige Seiten einzuschränken.
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Donnerstag 15. Februar 2007, 11:04

jens hat geschrieben:@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Hat 'man' nicht, wenn man auf Sicherheit achtet (und genau dafür ist jsmd5 ja gedacht). Welche AJAX-Seiten? Ich hab immernoch nicht kapiert, wozu das gut sein soll. Wenn ich ein Problem auf einer Seite hab, dann such ich mir ne andere. Das Web ist groß.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Donnerstag 15. Februar 2007, 11:31

Beispiele?

http://maps.google.de
http://www.lastfm.de
http://flickr.com

Aber du hast ja recht, normalerweise sollte man besser JS nur für bestimmte Seiten einschalten. Ich muß aber zugeben, das ich beim Firefox bequem bin und JS immer an hab. Beim IE7 ist es hingegen immer aus.

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Donnerstag 15. Februar 2007, 11:33

Keine dieser Seiten benutz ich. Versäum ich da was?

Übrigens: http://www.heise.de/newsticker/meldung/85351
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Antworten