Sinn oder Unsinn des PyLucids JS-MD5-Login...

[sape]

Nö, jens, ich pfeif auf das Passwort und ändere einfach in der DB, was ich ändern will ohne mich über PyLucid einzuloggen, was ich ja auch gar nicht mehr muss, wenn ich schon anderweitig auf die DB zugreifen kann.

Ja, als Admin und **nicht** als User Und das ist doch Normal das man als Admin auf das System vollen Zugriff hat mit z.B. phpMyAdmin. Ist bei vBulletin auch nicht anders oder bei phpBB, etc. Und das hat doch nichts mit dem zu tun was Jens angesprochen hat.

Oder verstehe ich euch beide falsch?

[birkenfeld]

Warum ist es dumm, wenn sie da als Hash drinstehen? Mit dem Hash kann man sich nicht einloggen. Könnte man das, bräuchte man den Aufwand mit dem Hashen ja gar nicht betreiben.

[Y0Gi]

Da User in der Regel simple Passwörter haben, sollte man besonders leicht Erfolg beim Suchen der Hashes in Rainbowtables haben. Mit zunehmender Größe der vorberechneten Daten ist das aber noch weniger relevant.

[N317V]

Irgendwie erzeugt das jsmd5 eine halbsichere Lösung für den Fall, dass es irgendwo eine riesige Sicherheitslücke gibt (z.B. dass jemand falsches einen SQL-Dump in die Finger kriegt). Zudem setzt es Javascript voraus, das ja selbst immer wieder für Sicherheitsprobleme sorgt.

Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?

[jens]

Da ich mich eigentlich schon für PyLucid interessiere: kann man das jsmd5 deaktivieren?

Noch nicht, weil es bisher keiner Nachgefragt hatte

Im Grunde klappt der Login auch super... z.Z. allerdings nicht im IE7, was aber wohl nur ein dummer JS Fehler ist.

Es wäre aber IMHO recht einfach ein PlainText Login zusätzlich zu realisieren. Aber da es bisher keiner wollte, mit mir eingeschlossen, wollte ich mir die zusätzliche Arbeit ersparen

[Y0Gi]

Im Grunde klappt der Login auch super... z.Z. allerdings nicht im IE7, was aber wohl nur ein dummer JS Fehler ist.

Da wäre schon der nächste Punkt: Die teilweise gravierenden Unterschiede in der JS-Implementierung der Browser.

[N317V]

Du hättest Dir am allermeisten Arbeit erspart, wenn Du gesagt hättest: wer Verschlüsselung will, der soll https nehmen. So teuer ist das auch wieder nicht.

[jens]

Die teilweise gravierenden Unterschiede in der JS-Implementierung der Browser.

Naja, das hält sich in Grenzen, weil ich nicht so viel mit JS mache.

Die MD5-Implementierung läuft IMHO auf allen Browsern. Du kannst ja mal selber die JS-MD5 Implementierungen von http://pajhome.org.uk/crypt/md5/index.html test. Dort ist direkt eine Möglichkeit dazu. Bei mir funktioniert es mit beiden Browsern.

Das der IE7 bockt liegt wohl an meinem kleinen Part: http://pylucid.net/trac/browser/trunk/P ... assword.js

EDIT: Ich hab gerade mal nachgesehen... Es liegt wohl an getElementById... Muß mal rausfinden, wie es mit dem IE7 geht, dann sollte der Login auch dort funktionieren

Edit: siehe: http://www.python-forum.de/topic-9471.html

Edit2: Ha! Fehler gefunden und behoben, siehe http://pylucid.net/trac/changeset/855
Nun klappt der Login auch mit dem IE7

Du hättest Dir am allermeisten Arbeit erspart, wenn Du gesagt hättest: wer Verschlüsselung will, der soll https nehmen.

Das habe ich, siehe: http://www.python-forum.de/post-51445.html#51445 und http://pylucid.org/index.py/JSMD5Login/

[N317V]

Der Punkt ist:

Das ganze funktioniert allerdings nur mit JavaScript.

Ein CMS, bei dem ich mich ohne JavaScript nicht einloggen kann, ist, was meine Bedürfnisse anbelangt, keines zweiten Blickes wert. Zumal ich auf der anderen Seite finanziell und strukturell in der Lage bin, mir nen eigenen Server mit Verschlüsselung zu leisten und somit das von jsmd5 gelöste Problem gar nicht habe. Deshalb werde ich mich bis auf Weiteres auch mit PyLucid nicht mehr befassen. Das darfst Du jetzt nicht persönlich nehmen. Das passt einfach nicht und das schon bevor ich es wirklich ausprobiert hab.

[Y0Gi]

Übrigens gab es bei Host Europe mal einen SSL-Proxy für die mittelgroßen Angebote dazu, womit es für die meisten auf jeden Fall finanziell kein Problem sein dürfte.

[jens]

Das Problem bei den SSL-Proxy ist allerdings, das SSL nur in eine Richtung da ist: Der Datenstrom vom Server zum Client. Anders herrum läuft es wieder unverschlüsselt ab. Das war zumindest bei Host-Europe so, damals.

@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar. Von daher sehe ich das nicht als so großes Problem an.
Wie gesagt, es wäre IMHO nicht viel Aufwand eine non-JS Variante zu bauen. Aber bisher habe ich persönlich keinen Grund dafür gesehen.

[lunar]

Außerdem ermöglichen moderne Browser (zumindest Opera, Firefox mit NoScript und Konqueror), Javascript auf vertrauenswürdige Seiten einzuschränken.

[N317V]

@N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat. Alle AJAX Seiten sind ohne JavaScript unbrauchbar.

Hat 'man' nicht, wenn man auf Sicherheit achtet (und genau dafür ist jsmd5 ja gedacht). Welche AJAX-Seiten? Ich hab immernoch nicht kapiert, wozu das gut sein soll. Wenn ich ein Problem auf einer Seite hab, dann such ich mir ne andere. Das Web ist groß.

[jens]

Beispiele?

http://maps.google.de
http://www.lastfm.de
http://flickr.com

Aber du hast ja recht, normalerweise sollte man besser JS nur für bestimmte Seiten einschalten. Ich muß aber zugeben, das ich beim Firefox bequem bin und JS immer an hab. Beim IE7 ist es hingegen immer aus.

[N317V]

Keine dieser Seiten benutz ich. Versäum ich da was?

Übrigens: http://www.heise.de/newsticker/meldung/85351