Loginscript

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Loginscript

    moinsen, ich benutze folgendes opensource loginscript:

    PHP-Code:
    <?

    $LOGIN = "test";
    $PASSWORD = "test";

    function error ($error_message) {
        echo $error_message."<BR>";
        exit;
    }

    if ( (!isset($PHP_AUTH_USER)) || ! (($PHP_AUTH_USER == $LOGIN) && ( $PHP_AUTH_PW == "$PASSWORD" )) ) {
        header("WWW-Authenticate: Basic entrer=\"Form2txt admin\"");
        header("HTTP/1.0 401 Unauthorized");
        error("Unauthorized access...");
    }
    ?> 

    <!-- hier die geschützte seite -->
    für wie sicher haltet ihr dieses script?
    wäre schön ein paar meinungen zu hören

    Atmosveer

  • #2
    Re: Loginscript

    Original geschrieben von Atmosveer
    für wie sicher haltet ihr dieses script?
    die frage ist doch nicht wirklich dein erst. oder?
    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


    Kommentar


    • #3
      Wart ma kurz ich befrag mal das Orakel, wie das Passwort sein könnte?

      *Orakelbefragundantwortkriegundantwortnichtverstehundnochmalfrag*

      Das Orakel sagt:
      Das Passwort ist test
      it's not a bug,
      it's a feature!

      Kommentar


      • #4
        doch






        hab mich noch gar nicht groß mit sicherheit befasst, haste denn irgendwelche lesenswerte quellen?

        Kommentar


        • #5
          Ja. Lies dir mrhappiness' tut durch
          http://www.php-resource.de/tutorials/read/38/1/
          it's not a bug,
          it's a feature!

          Kommentar


          • #6
            Original geschrieben von XGremliN
            Wart ma kurz ich befrag mal das Orakel, wie das Passwort sein könnte?

            *Orakelbefragundantwortkriegundantwortnichtverstehundnochmalfrag*

            Das Orakel sagt:
            Das Passwort ist test

            aber das passwort sieht man ja gar nicht wenn man auf die seite kommt

            nu hört schon auf mich aufzuziehen, wie würdet ihr in den geschüzten bereich kommen, wenn das orakel den quellcode nicht gepostet hätte

            Kommentar


            • #7
              Original geschrieben von Atmosveer
              nu hört schon auf mich aufzuziehen, wie würdet ihr in den geschüzten bereich kommen, wenn das orakel den quellcode nicht gepostet hätte
              schaue einfach auf diese url .....

              Original geschrieben von XGremliN
              Ja. Lies dir mrhappiness' tut durch
              http://www.php-resource.de/tutorials/read/38/1/
              INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


              Kommentar


              • #8
                Original geschrieben von Atmosveer
                nu hört schon auf mich aufzuziehen, wie würdet ihr in den geschüzten bereich kommen, wenn das orakel den quellcode nicht gepostet hätte [/B]
                Ich könnte mir ja deine Seite komplett saugen, z.B. mit WebReaper oder so was. Dann hätte ich den Quellcode.
                it's not a bug,
                it's a feature!

                Kommentar


                • #9
                  ohje, mir war nicht mal bewusst, dass man ungepasrte php seitensaugen kann .
                  na dann werde ich mich mal in die materie einarbeiten

                  Kommentar


                  • #10
                    auch die "websauger" koennen sich net deine ungeparsten php seiten ziehen ...

                    die bekommen auch nur die php ausgabe ...

                    korrigiert mich wenn ich falsch liege , aber sonst haetten hier sehr viele ein problem

                    Kommentar


                    • #11
                      Original geschrieben von XGremliN
                      Ich könnte mir ja deine Seite komplett saugen, z.B. mit WebReaper oder so was. Dann hätte ich den Quellcode.
                      so ein unsinn.
                      Original geschrieben von Atmosveer
                      ohje, mir war nicht mal bewusst, dass man ungepasrte php seitensaugen kann .
                      kann man auch nicht. lass dir hier keinen bären aufbinden von leuten, die keine ahnung haben ...

                      bei einem zugriff über http wird der server immer die geparste datei ausliefern - es sei denn, er ist falsch konfiguriert, php-parser abgestürzt oder sowas. um sich vor diesem extrem seltenen fall zu schützen, kann man dann die passwörter noch in eine include-datei packen, die man oberhalb des webroots ablegt - darauf gibt es per http gar keinen zugriff.
                      wenn also der php-parser mal versagt, sieht man dann im quelltext trotzdem nur ein
                      require "../passwort.inc.php";
                      I don't believe in rebirth. Actually, I never did in my whole lives.

                      Kommentar


                      • #12
                        @wahsaga und kapitaeniglo
                        Naja. Man kanns ja mal probieren.

                        Trotzdem ist Atmosveer's Script hier nicht sicher.
                        it's not a bug,
                        it's a feature!

                        Kommentar


                        • #13
                          also ich hab das mit dem webreaper probiert und es geht natürlich nicht, wäre ja auch ne katastrophe.

                          nur noch kurz, wieso ist das script nicht sicher?

                          Kommentar


                          • #14
                            naja, so unsicher ist es nicht. aber ich würds auch anders schreiben.

                            Kommentar


                            • #15
                              nicht sicher weil alles im Klartext im Script steht. Bei der Anfrage an den Server könnte man das Päckchen abfangen und hätte sofort die Login-Daten.
                              it's not a bug,
                              it's a feature!

                              Kommentar

                              Lädt...
                              X