Login für Webseite

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/login_fuer_webseite_56528/page_1 - zur Vollversion wechseln!

jb schrieb am 25.11.2002 um 13:05

Bin grade dabei einen Login für eine Webseite zu coden.
Will dabei aber kein htaccess sondern eine MySQL DB und ein normales Formular (so wie hier bei oc.at) verwenden.

Meine Frage nun: wie kann ich vor dem Verschicken daß Paßwort entweder versteckt wird oder gleich vor dem Verschicken per Crypt verschlüsselt wird?

Wie sicher ist das Ganze gegen Manipulationen?
Ich möchte außerdem anschließend das Paßwort und den Usernamen per Cookie speichern, so daß man sich nicht immer wieder neu anmelden muß. Die Rechner werden im Großen und Ganzen immer mit den selben Usern/Berechtigungsstufen bleiben, nur auf IP-Adressen kann ich wegen einer Firewall nicht filtern

atrox schrieb am 25.11.2002 um 13:33

vorm verschickem mit javascript (<form onsubmit="..." ...>;) hashen.

md5 mit javascript:
http://selfaktuell.teamone.de/artikel/javascript/md5/
http://pajhome.org.uk/crypt/md5/

allerdings könnte jemand den hash abfangen und weiterbenutzen, weshalb ich ein chellange-resoponse verfahren vorschlage, in dem du mit dem login-form und dem js ein one-time-hash mitschickst, der mit dem passwort mitkodiert wird.

perfet ist die lösung nicht, aber noch ziemlich einfach für den erzielten effekt.

jb schrieb am 25.11.2002 um 15:19

Gibts auch eine andere Möglichkeit? Das Script schaut mir doch etwas aufwendiger aus... :rolleyes:

funka schrieb am 25.11.2002 um 15:48

fuern transfer ssl

und lokal sie irgendwie verschleiern (zb base64) oder md5 summen direkt am client machen

jives schrieb am 25.11.2002 um 15:58

Ist die Verschlüsselung VOR dem submit wirklich nötig? Ich glaub nicht dass es ein "Freizeit"-Cracker schafft, die Daten abzufangen und wenn doch, ist er schon so weit bewandert, dass er auch eine andere Verschlüsselung knacken würde :)
Die ganzen Foren verschicken afaik auch Klartext.

Aber sonst, as funka said: SSL+js ist glaub ich am einfachsten dafür.

Ringding schrieb am 25.11.2002 um 17:22

Nachdem bekannte Verschlüsselungsverfahren keine bekannten Schwachstellen haben, halte ich die Aussage für übermütig.

jives schrieb am 25.11.2002 um 17:56

Hab mich falsch ausgedrückt - nicht die Verschlüsselung ist die Schwachstelle, aber zumindest der Weg zu der Verschlüsselung - auch clientseitig imo, da js-Code ja einfach sichtbar ist.

Ringding schrieb am 25.11.2002 um 19:58

Das ist sehr richtig.



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025