frage zum schönes UserManagement

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • frage zum schönes UserManagement

    Ich hab da mal noch eine Idee:
    Und zwar gibt es noch ein Sicherheitsloch....Hacker verwenden oft eine Art des Passwortknackens, indem sie alle Varianten durchführen, bis es einmal zum Erfolg kommt!
    Und nun bastele ich ein kleine Add-On, welches dies verhindern soll! Dabei wird eine externe txt-Datei verwendet, indem die Versuche des Login gespeichert werden! Wenn die Zahl zu groß wird, kommt es zu einem Fehler und man hat für 10 Minuten oder so keine Login-Funktion!
    Das kjann man natürlich auch direkt in die MySQL Datenbank schreiben, davon hab ich aber nicht sehr viel Wissen! Das kann ja dann jemand anderes machen...

    Was denkt ihr darüber???
    MFG
    David M.

    http://www.damo-online.de

  • #2
    ich habe dich abgetrennt.

    schliesslich sind die code-schnipsel ein reines code-forum aber dein diskussions-forum.
    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


    Kommentar


    • #3
      is zeimliech fürn arsch find ich, da das nur greift, solang ich nich ne neue session-id bekomme oder?
      also entweder mach ich den browser einfach neu auf und hab ne andere session-id oder ich hab (praktischer) ein tool dafür, dass afair ne neue anfrage startet und automatisch ne neue session-id bekommt

      die ip wolltest du ja nich wirklich benutzen oder doch?
      Ich denke, also bin ich. - Einige sind trotzdem...

      Kommentar


      • #4
        Nagut, ich will mal warten, was andere User noch so dazu meinen....
        Wenn VIELE dafür sind, werde ich es mal hier veröffentlichen......
        MFG
        David M.

        http://www.damo-online.de

        Kommentar


        • #5
          Was man noch machen könnte:

          1.) Man könnte aber andererseits jedem User 1 zusätzliches Feld mitgeben indem der fehlgeschlagene Logingversuch +1 addiert wird. Ist dieser Zähler beim 10 mal angelangt, könnte man das PW auf ein zufälliges PW setzen und dieses dann an seine eMail-Adresse schicken und gleichzeitig hinterlegen in einem evtl. zusätzlichen Feld das er beim Anmelden ein neues vergeben soll, erst wenn das gemacht wurde verschwindet die Warnmeldung (PopUp zum Nerven z.B.)

          2.) In die Session die derzeige Ip-Adresse des Users integrieren sobald diese abweicht, (24H Stunden Trennung durch Provider, bekommt bei Neuanmelden beim Provider neue IP) kann man die Session für ungültig erklären und zum Neuanmelden auffordern.
          [color=blue]MfG Payne_of_Death[/color]

          [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
          [color=red]Merke:[/color]
          [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

          Murphy`s Importanst LAWS
          Jede Lösung bringt nur neue Probleme
          Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
          In jedem kleinen Problem steckt ein großes, das gern raus moechte.

          Kommentar


          • #6
            2. find ich doof, weil ich dann mitunter aus manchen foren oder weiß de rgeier wo rausfliegen würd obwohl ich nix getan hab (session-id reicht eigentlich aus!)

            1. hmm, naja, also das is so:
            ich hab ein neues passwort und muss den zähler wieder von 10 auf 0 zurücksetzen oder?
            is also das gleiche als ob ich überhaupt keinen zähler hätte
            und wer sagt dir, dass das neue passwort nicht rausgefunden werden kann?
            Ich denke, also bin ich. - Einige sind trotzdem...

            Kommentar


            • #7
              zu 1.)
              Alternativ kann man mit den Mods auch ein Standard PW vereinbaren, welches nach der x Fehlanmeldung automatisch gesetzt wird. Weiterhin könnte man das Profil auch deaktivieren nach dem x Versuch.

              @Happy: Könntest aber auch deine Lösungsanregungen die du mitunter in deiner Klasse verwendest hast mal kurz präsentieren.
              [color=blue]MfG Payne_of_Death[/color]

              [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
              [color=red]Merke:[/color]
              [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

              Murphy`s Importanst LAWS
              Jede Lösung bringt nur neue Probleme
              Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
              In jedem kleinen Problem steckt ein großes, das gern raus moechte.

              Kommentar


              • #8
                Ich kann ja auch noch Cookies einbauen....da brauch ich mich nicht jedesmal wieder neu einloggen....
                Dieses Cookie kann dann 50 Tage auf dem Rechner blewiben, danach löscht es sich automatisch....sicherer ist es natürlich ohne Cookie!


                Ich sehe, dass es viele Ideen gibt! Aber die UMSETZTUNG!!!!.....
                MFG
                David M.

                http://www.damo-online.de

                Kommentar


                • #9
                  Original geschrieben von davidm
                  Aber die UMSETZTUNG!!!!.....
                  .... musst du alleine machen....
                  INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                  Kommentar


                  • #10
                    Original geschrieben von Payne_of_Death
                    zu 1.)
                    Alternativ kann man mit den Mods auch ein Standard PW vereinbaren, welches nach der x Fehlanmeldung automatisch gesetzt wird.
                    und das passwort is sicherer?
                    warum nehm ich's dann nich gleich?
                    @Happy: Könntest aber auch deine Lösungsanregungen die du mitunter in deiner Klasse verwendest hast mal kurz präsentieren.
                    lösungsanregung dafür?
                    gibt's keine, weil ich nicht wüsste wie ich das machen könnte, außer nach 10 logins das profil zu sperren und dem user nen freischaltlink zu schicken (ich glaub das bau ich noch rein, aber das is imo auch nich das nonplusultrasinequanon *g*)
                    EDIT:
                    @danielm
                    cookies gibt's schon *g*

                    Ich denke, also bin ich. - Einige sind trotzdem...

                    Kommentar


                    • #11
                      Jupp und da geht es schon los!!!
                      Ich hab nicht sehr viel Ahnung (um nicht zu sagen KEINE) von PHP und CO...Leider!
                      Deshalb bin ich auch immer zu auf der Suche noch TUTs und tollen Scripts...
                      MFG
                      David M.

                      http://www.damo-online.de

                      Kommentar


                      • #12
                        Original geschrieben von davidm
                        [...] und tollen Scripts...
                        happy hat auch ein tolles script bei den code-schnipseln gepostet.
                        INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                        Kommentar


                        • #13
                          und das passwort is sicherer?
                          warum nehm ich's dann nich gleich?
                          Nö.

                          Ganz einfach weil dies nur für die Zwecke gedacht ist, falls jemand 1.) neuer User wird oder 2.) Passwort nicht mehr weiss

                          3.) Wird das System solange Terror schieben und vereinzelte Teile sperren bis ein anderes Passwort vergeben wurde welches kein Standardpasswort mehr ist.

                          4.) Kann man dieses Rücksetzungsverfahren noch verfeinern indem man nur 1 Anmeldung allgemein für alle User erlaubt, (falls 2 User ein Passwort zurückgesetzt bekommen haben). Zweitens könnte man einem User der ein PW zurückgesetzt bekommen hat mit einem Zähler in Verbindung bringen -> 1 malige Anmeldung zugelassen -> kein neues PW vergeben bis zur nächsten Standard-PW Anmeldung
                          -> Account deaktiviert

                          Es geht doch nicht um die Sicherheit eines PWs, dafür ist der User selber verantwortlich, sonst könnte man ja gleich ein Zufallgeneriertes PW dem User geben wo er nicht ändern kann.

                          Also 4.) könnte vielleicht eine gute Idee sein
                          [color=blue]MfG Payne_of_Death[/color]

                          [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
                          [color=red]Merke:[/color]
                          [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

                          Murphy`s Importanst LAWS
                          Jede Lösung bringt nur neue Probleme
                          Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
                          In jedem kleinen Problem steckt ein großes, das gern raus moechte.

                          Kommentar


                          • #14
                            3.) bringt doch auch nix, da es den hacker en dreck kümmert ob bestimmte teile gesperrt sind (die "passwort ändern"-funktion kannst du ja nicht sperren *g*)
                            ihm reicht's wenn er ins system kommt

                            4.) den ersten teil versteh ich nich, heißt dass wenn das passwort von user A und von user B zurückgesetzt wurde, dass sich dann nur einer von beiden mit dem standardpasswort anmelden kann? was wenn das Uuser A is, der aber gearde 14 Tage in Urlaub is? Hat B dan die arschkarte gezogen? oder wie meinst du das?

                            den zweiten teil find ich nich gut, da es ja immer mal vorkommen kann, dass man sich vertippt. du kannst die user ja nich zwingen das passwort mit copy&paste aus der mail zu holen (die ja auch erstmal geschickt werden will)


                            @Abraxax
                            danke, zuviel der ehre

                            P.S. es geht sehrwohl um die sicherheit des passworts. zum einen um das pw des users (das is aber dessen aufgabe) und zum anderen um die des standardpassworts das du vergeben willt
                            Ich denke, also bin ich. - Einige sind trotzdem...

                            Kommentar


                            • #15
                              3.) bringt doch auch nix, da es den hacker en dreck kümmert ob bestimmte teile gesperrt sind (die "passwort ändern"-funktion kannst du ja nicht sperren *g*)
                              ihm reicht's wenn er ins system kommt
                              Kann zwar eh vergessen, aber war aber auch net so gemeint. Ich ging hier von dem Fall aus das einer mit dem Standard PW sich anmeldet.


                              4.) den ersten teil versteh ich nich, heißt dass wenn das passwort von user A und von user B zurückgesetzt wurde, dass sich dann nur einer von beiden mit dem standardpasswort anmelden kann? was wenn das Uuser A is, der aber gearde 14 Tage in Urlaub is? Hat B dan die arschkarte gezogen? oder wie meinst du das?

                              den zweiten teil find ich nich gut, da es ja immer mal vorkommen kann, dass man sich vertippt. du kannst die user ja nich zwingen das passwort mit copy&paste aus der mail zu holen (die ja auch erstmal geschickt werden will)
                              Erster Teil mein ich genau so, aber da ich gewissermaßen erzwinge das sich einer innerhalb seiner Standard PW-Session sein PW ändern soll. Hat User B nicht die Arschkarte gezogen.

                              Zweiter Teil ich muss denen nicht via eMail mitteilen wie das Standard PW heisst, da ich dies grundsätzlich in jeder Session so mitteilen kann für den Fall.
                              So wissen die Mods wie sie sich im Fall nach einem x Versuch der Fehlanmeldung noch 1 mal anmelden können nachdem ist Admin dran.

                              Abgesehen davon ist das Standard PW eh keinem von Haus aus erlaubt zu benutzen da:

                              1.) ein gültiger Usernamen eingegeben werden muss
                              1.1) dieser muss entweder ein Mod sein
                              2.) das System muss den Account zurückgesetzt haben
                              3.) das Standard-PW muss richtig eingegeben werden
                              4.) Sollte das Standard-PW 3x mal falsch eingegeben worden sein -> Account deaktiviert

                              Daher denke ich du interpretierst hier was anderes als ich meine, hoffe das ist jetzt so ungefähr klar.

                              hm, ohne eMail ist es ein Hauch von Unsicher wenn man weiss wie das ganze funktioniert.

                              Deshalb sollte das Standard PW doch besser zufallsgeneriert sein und in der Datenbank gesichert werden und so zum User kommen, der dann auf einen Link klickt.
                              Und die eMail ist dann 5 Tage gültig (mit dem PW), danach ist der Account deaktiviert.

                              Also Sicherheit ohne eMail Kommunikation nicht machbar
                              [color=blue]MfG Payne_of_Death[/color]

                              [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
                              [color=red]Merke:[/color]
                              [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

                              Murphy`s Importanst LAWS
                              Jede Lösung bringt nur neue Probleme
                              Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
                              In jedem kleinen Problem steckt ein großes, das gern raus moechte.

                              Kommentar

                              Lädt...
                              X