Login für Webseite

jb

Here to stay

Registered: May 2000
Location: /home/noe/
Posts: 3523

25.11.2002 - 13:05

Bin grade dabei einen Login für eine Webseite zu coden.
Will dabei aber kein htaccess sondern eine MySQL DB und ein normales Formular (so wie hier bei oc.at) verwenden.

Meine Frage nun: wie kann ich vor dem Verschicken daß Paßwort entweder versteckt wird oder gleich vor dem Verschicken per Crypt verschlüsselt wird?

Wie sicher ist das Ganze gegen Manipulationen?
Ich möchte außerdem anschließend das Paßwort und den Usernamen per Cookie speichern, so daß man sich nicht immer wieder neu anmelden muß. Die Rechner werden im Großen und Ganzen immer mit den selben Usern/Berechtigungsstufen bleiben, nur auf IP-Adressen kann ich wegen einer Firewall nicht filtern

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

25.11.2002 - 13:33

vorm verschickem mit javascript (<form onsubmit="..." ...>

hashen.

md5 mit javascript:
http://selfaktuell.teamone.de/artikel/javascript/md5/
http://pajhome.org.uk/crypt/md5/

allerdings könnte jemand den hash abfangen und weiterbenutzen, weshalb ich ein chellange-resoponse verfahren vorschlage, in dem du mit dem login-form und dem js ein one-time-hash mitschickst, der mit dem passwort mitkodiert wird.

perfet ist die lösung nicht, aber noch ziemlich einfach für den erzielten effekt.

Bearbeitet von atrox am 25.11.2002, 13:37

jb

Here to stay

Registered: May 2000
Location: /home/noe/
Posts: 3523

25.11.2002 - 15:19

Gibts auch eine andere Möglichkeit? Das Script schaut mir doch etwas aufwendiger aus... :rolleyes:

funka

Legend
ex-prophet(down below)

Registered: Sep 2000
Location: Vienna / SF
Posts: 6131

25.11.2002 - 15:48

fuern transfer ssl

und lokal sie irgendwie verschleiern (zb base64) oder md5 summen direkt am client machen

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

25.11.2002 - 15:58

Ist die Verschlüsselung VOR dem submit wirklich nötig? Ich glaub nicht dass es ein "Freizeit"-Cracker schafft, die Daten abzufangen und wenn doch, ist er schon so weit bewandert, dass er auch eine andere Verschlüsselung knacken würde

Die ganzen Foren verschicken afaik auch Klartext.

Aber sonst, as funka said: SSL+js ist glaub ich am einfachsten dafür.

Ringding

Pilot

Registered: Jan 2002
Location: Perchtoldsdorf/W..
Posts: 4300

25.11.2002 - 17:22

Nachdem bekannte Verschlüsselungsverfahren keine bekannten Schwachstellen haben, halte ich die Aussage für übermütig.

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

25.11.2002 - 17:56

Hab mich falsch ausgedrückt - nicht die Verschlüsselung ist die Schwachstelle, aber zumindest der Weg zu der Verschlüsselung - auch clientseitig imo, da js-Code ja einfach sichtbar ist.

Ringding

Pilot

Registered: Jan 2002
Location: Perchtoldsdorf/W..
Posts: 4300

25.11.2002 - 19:58

Das ist sehr richtig.

jb Here to stay Registered: May 2000 Location: /home/noe/ Posts: 3523	25.11.2002 - 13:05 Bin grade dabei einen Login für eine Webseite zu coden. Will dabei aber kein htaccess sondern eine MySQL DB und ein normales Formular (so wie hier bei oc.at) verwenden. Meine Frage nun: wie kann ich vor dem Verschicken daß Paßwort entweder versteckt wird oder gleich vor dem Verschicken per Crypt verschlüsselt wird? Wie sicher ist das Ganze gegen Manipulationen? Ich möchte außerdem anschließend das Paßwort und den Usernamen per Cookie speichern, so daß man sich nicht immer wieder neu anmelden muß. Die Rechner werden im Großen und Ganzen immer mit den selben Usern/Berechtigungsstufen bleiben, nur auf IP-Adressen kann ich wegen einer Firewall nicht filtern
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	25.11.2002 - 13:33 vorm verschickem mit javascript (<form onsubmit="..." ...> hashen. md5 mit javascript: http://selfaktuell.teamone.de/artikel/javascript/md5/ http://pajhome.org.uk/crypt/md5/ allerdings könnte jemand den hash abfangen und weiterbenutzen, weshalb ich ein chellange-resoponse verfahren vorschlage, in dem du mit dem login-form und dem js ein one-time-hash mitschickst, der mit dem passwort mitkodiert wird. perfet ist die lösung nicht, aber noch ziemlich einfach für den erzielten effekt. Bearbeitet von atrox am 25.11.2002, 13:37
jb Here to stay Registered: May 2000 Location: /home/noe/ Posts: 3523	25.11.2002 - 15:19 Gibts auch eine andere Möglichkeit? Das Script schaut mir doch etwas aufwendiger aus...
funka Legend ex-prophet(down below) Registered: Sep 2000 Location: Vienna / SF Posts: 6131	25.11.2002 - 15:48 fuern transfer ssl und lokal sie irgendwie verschleiern (zb base64) oder md5 summen direkt am client machen
jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	25.11.2002 - 15:58 Ist die Verschlüsselung VOR dem submit wirklich nötig? Ich glaub nicht dass es ein "Freizeit"-Cracker schafft, die Daten abzufangen und wenn doch, ist er schon so weit bewandert, dass er auch eine andere Verschlüsselung knacken würde Die ganzen Foren verschicken afaik auch Klartext. Aber sonst, as funka said: SSL+js ist glaub ich am einfachsten dafür.
Ringding Pilot Registered: Jan 2002 Location: Perchtoldsdorf/W.. Posts: 4300	25.11.2002 - 17:22 Nachdem bekannte Verschlüsselungsverfahren keine bekannten Schwachstellen haben, halte ich die Aussage für übermütig.
jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	25.11.2002 - 17:56 Hab mich falsch ausgedrückt - nicht die Verschlüsselung ist die Schwachstelle, aber zumindest der Weg zu der Verschlüsselung - auch clientseitig imo, da js-Code ja einfach sichtbar ist.
Ringding Pilot Registered: Jan 2002 Location: Perchtoldsdorf/W.. Posts: 4300	25.11.2002 - 19:58 Das ist sehr richtig.

Login für Webseite

Forum Index > Software > Coding Stuff

jb

atrox

jb

funka

jives

Ringding

jives

Ringding