Ergebnis 1 bis 20 von 321

Thema: Allgemeiner Fragethread

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. 28.01.2007 00:43 #1

    Avatar von mitaki
    mitaki
    Ritter
    stars3
    Zitat Zitat von underdark
    Danke. Hat geklappt nachdem ich auch noch ein bisschen Code in den Überschriften Formatierungen geändert hab.
    Freut mich

    Zitat Zitat von Samogas
    Das Problem machte in Form eines "owned" Bildes auf jeder zu verwaltenden Seite auf sich aufmerksam...
    Und du meinst oder kannst bestätigen, dass die Lücke bei der HTTP-Authentifizierung lag?

    Zitat Zitat von Die Pflaume
    Wenn Sie dann noch den Variablenamen für die Session-ID so wählen, dass er schwer zu erraten ist, haben Sie schon ein gewisses Mass an Sicherheit erreicht!
    Ich sehe da keinen Zusammenhang. Benutzerdaten kommen entweder aus Cookies, oder Formularen (ein kleiner Teil auch auch _SERVER-Daten). Diese haben meist nicht viel mit den _SESSION-Schlüsseln zu tun. Ohnehin frage ich mich, wie der Autor darauf kommt, diese Schlüssel seien eine Gefahr.

    Meiner Meinung nach ist dieses Tutorial nicht sehr gehalt- und sinnvoll. Der Autor scheint weder sonderlich recherchiert noch den Text überprüft zu haben.
  2. 28.01.2007 01:26 #2

    Avatar von Tessio
    Tessio
    Ehrengarde
    stars3
    Zitat Zitat von mitaki Beitrag anzeigen
    Und du meinst oder kannst bestätigen, dass die Lücke bei der HTTP-Authentifizierung lag?
    Nope.
    Aber nunja.
    Es ist kurz nach der Einführung des ACPs passiert, davor war alles okay und ich hab das FTP Passwort danach nicht geändern, trotzdem kam das nie wieder.
    Naja, ich weiss ja auch nicht, du bist hier der Profi, bei mir ists dann doch nur die Intuition.

    Zitat Zitat von mitaki Beitrag anzeigen
    Ich sehe da keinen Zusammenhang. Benutzerdaten kommen entweder aus Cookies, oder Formularen (ein kleiner Teil auch auch _SERVER-Daten). Diese haben meist nicht viel mit den _SESSION-Schlüsseln zu tun. Ohnehin frage ich mich, wie der Autor darauf kommt, diese Schlüssel seien eine Gefahr.
    Wie dem auch sei, ich wollte halt nur ein Loginscript anschaun und da das funktionierte, hab ichs genommen.
    Danke für deine Aufklärung.

    Zitat Zitat von mitaki Beitrag anzeigen
    Meiner Meinung nach ist dieses Tutorial nicht sehr gehalt- und sinnvoll. Der Autor scheint weder sonderlich recherchiert noch den Text überprüft zu haben.
    Ausgeschlssn! :D

    _o/

    --
    Droggelbecher.
  3. 28.01.2007 01:53 #3

    Avatar von mitaki
    mitaki
    Ritter
    stars3
    Zitat Zitat
    Naja, ich weiss ja auch nicht, du bist hier der Profi, bei mir ists dann doch nur die Intuition.
    Die HTTP-Methode ist meines Erachtens schon sehr sicher und nicht für dein Problem verantwortlich. Natürlich schließt das keine Passworte wie „password1“ mit ein

    Zitat Zitat
    Wie dem auch sei, ich wollte halt nur ein Loginscript anschaun und da das funktionierte, hab ichs genommen.
    Ich will dir nicht den Mut nehmen, wie es mir jetzt vorkommt.
    Loginbereiche sind ein relativ komplexes Thema, ich gebe dir folgenden Gedanken mit auf den Weg:

    Überlege, welche Möglichkeiten du hast, nach dem Login angemeldet zu bleiben. Dann überlege dir, wie du prüfen kannst, ob auch tatsächlich der echte Benutzer die Seite aufgerufen hat und erlaube bzw. verweigere den Zugriff je nach Ergebnis. Es besteht dann zwar ein Restrisiko, aber das ist ja immer gegeben.

    Zitat Zitat
    Ausgeschlssn!
    Ach komm^^ Wie viele der selbsternannten Profis sind schon echt?
  4. 28.01.2007 03:38 #4

    Avatar von Tessio
    Tessio
    Ehrengarde
    stars3
    Zitat Zitat von mitaki Beitrag anzeigen
    Die HTTP-Methode ist meines Erachtens schon sehr sicher und nicht für dein Problem verantwortlich. Natürlich schließt das keine Passworte wie „password1“ mit ein
    Das Password war ein 32-Stellen String, also mit MD5 generiert (ich glaube das verschlüsselte Wort war Ananasbananensplitcouch), das von dem damals noch alleineherrschenden Admin (meine Wenigkeit) in Textform auf einem Zettel niedergeschrieben war und nein, bei mir kommt keiner ins Haus, der auch nur die Seite kennt. However. Passwort war sicher. Relativ.

    Zitat Zitat von mitaki Beitrag anzeigen
    Ich will dir nicht den Mut nehmen, wie es mir jetzt vorkommt.
    Loginbereiche sind ein relativ komplexes Thema, ich gebe dir folgenden Gedanken mit auf den Weg:

    Überlege, welche Möglichkeiten du hast, nach dem Login angemeldet zu bleiben. Dann überlege dir, wie du prüfen kannst, ob auch tatsächlich der echte Benutzer die Seite aufgerufen hat und erlaube bzw. verweigere den Zugriff je nach Ergebnis. Es besteht dann zwar ein Restrisiko, aber das ist ja immer gegeben.
    Hmhm, danke, mein eigentliches Problem ist dann doch eher die Unkreativität, da mir jetzt kein besserer Weg als der im oben gespoilerten Loginscript einfällt...
    Ich bin noch ein Greenhorn. =_=


    Zitat Zitat von mitaki Beitrag anzeigen
    Ach komm^^ Wie viele der selbsternannten Profis sind schon echt?
    Alles klar. mitaki ist ein Bot. :o

    *shrug* Hmhm, hoffentlich leidet der Thread nicht allzu dolle an diesem Dialog. *hust* >.>

    --
    Droggelbecher.
« Vorheriges Thema | Nächstes Thema »

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln