php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Scripts > BRAINSTORMING PHP/SQL/HTML/JS/CSS
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


BRAINSTORMING PHP/SQL/HTML/JS/CSS Ihr habt eine Idee, aber keinen genauen Ansatz? Diskutiert mit anderen Usern des Forums über eure Gedankengänge um evtl. hilfreiche Ideen zu bekommen!
Normale Fragen bitte weiterhin in die entsprechenden Foren!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 30-05-2009, 02:43
fabio
 Registrierter Benutzer
Links : Onlinestatus : fabio ist offline
Registriert seit: Aug 2003
Ort: Wetzikon, ZH, CH
Beiträge: 408
fabio ist zur Zeit noch ein unbeschriebenes Blatt
Standard alternative Loginmethoden (für Admin-Interface)

Hi

Ich mache mir immer wieder Gedanken, wie man den Login für Seitenadministratoren leichter machen kann.
Passwörter sind entweder zu leicht, oder so schwer, dass man es einfach Speichert.

Ich habe mir gedacht, für die Administration ein Single Site Browser (Firefox Prism, oder Fluid) zu nutzen.

Dabei wollte ich irgendeine Möglichkeit schaffen, um den Login zu umgehen.

Ideen die mir dabei gekommen sind:
eine Lokale HTML-Datei wo das Login-Formular bereits ausgefüllt ist. Fällt weg, Begründung ist wohl nicht nötig

Ne weitere Möglichkeit wäre ebenfalls ein Formular. Mit JS würde eine lokal gespeicherte spezielle Datei zum Server übertragen werden, und wenn die MD5 Checksumme korrekt ist ist der Login angenommen. Problem ist, dass man per JS keine Dateien zum Upload auswählen kann.

Ne Kombination aus beiden versionen:
Eine Lokal gespeicherte HTML Datei mit einem Formular. Eine versteckte Textarea mit einem zB 1024-Zeichen langem Schlüssel der auch auf dem Server gespeichert wird. Bei öffnen der Lokalen Seite wird das Formular automatisch abgeschickt und man wird eingeloggt.


Was für weitere Mögilchkeiten wären Möglich?

Zu erwähnen bleibt noch, dass der Adminaccount nur auf einem Computer genutzt wird und es neben dem SSB Login noch ein normaler Username/Passwort Login über ne normale Domain (seite.ch/admin) gäbe.
Man könnte also weiterhin (zB an einem anderen Computer) den normalen Login benutzen.
Mit Zitat antworten
  #2 (permalink)  
Alt 30-05-2009, 13:52
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Mit javascript kannst du keine Datei zum Server übertragen.

Was denkst du denn ist der Unterschied zwischen deiner 1. und deiner letzten Version?

Was macht es für einen Unterschied ob du das Passwort in einer versteckten Textarea, einem Cookie oder gleich per GET übergibst?

Du könntest das wenn du auf eine lokale Datei automatisch zugreifen wolltest mit Java lösen.

Du könntest auch manuell eine bestimmte Datei hochladen lasse.

Du könntest auch das selbe Prinzip wie bei den meisten E-Bankings anwenden.
Du erhältst eine bestimmte Zichenfolge, wenn du die Seite betritts, du übergibst diese Zeichenfolge einem lokalen generator unnd kopierst dann die neu generierte Zeichenfolge.
Mit Zitat antworten
  #3 (permalink)  
Alt 30-05-2009, 14:03
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
oder so schwer, dass man es einfach Speichert.
Das kannst du im HTML recht gut verhinden.


Zitat:
Dabei wollte ich irgendeine Möglichkeit schaffen, um den Login zu umgehen.
Ein Dauerlogin-Cookie setzen.
Aber besonders sicher ist das nicht.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #4 (permalink)  
Alt 30-05-2009, 14:16
fabio
 Registrierter Benutzer
Links : Onlinestatus : fabio ist offline
Registriert seit: Aug 2003
Ort: Wetzikon, ZH, CH
Beiträge: 408
fabio ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Nun es geht mir dabei um folgendes:

Der Administrator (Für den Seiteninhalt, FTP Passwörter etc sind schon andere) sollte einfach das Programm öffnen können, und dann direkt oder mit kurzer verzögerung ins CMS reinkommen.

Ich wollte eben auf Passwörter verzichten, weil gerade bei Laien mit diesen nicht sehr sorgsam umgegangen wird.
Einige wollen ein einfach zu merkendes Passwort (welches womöglich sogar noch ein Wort ist wie man es im Duden finden könnte), andere schreiben die Passwörter sogar einfach auf Post-it Zettel und klebens an den Bildschirm.

Da habe ich mir eben gedacht, machst du zwei Möglichkeiten zum Login.

Einen SSB wo der Administrator gar kein Passwort eingegeben werden muss , und einen normalen Login via namederseite.ch/admin.


Es sollten dabei eben zwei Sachen entstehen:
einen möglichst einfachen aber dennoch sicheren Login per lokame Computer (eben via SSB), und einen sicheren Login via normalem Webbrowser (für unterwegs) mit halt etwas besserem Passwort.

Wenn ich es mit einer Strichliste wie bei den Banken mache ist das ganze wieder "Sinnlos" weil man dann wieder etwas eingeben muss und genau das wollte ich ja verhindern.

Das selbe wie wenn der Administrator die Datei selber auswählen müsste.
Der Computer (also nur der SSB Browser) sollte sich also irgendwie selbstständig Anmelden können.
Mit Zitat antworten
  #5 (permalink)  
Alt 30-05-2009, 14:36
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Einfach und relativ sicher ist es auch wenn du einfach ein längeres Passwort für diesen Benutzer nimmst. Ob du dieses danach automatisch mittels eines Cookies, GET oder POST üergibst macht nicht wirklich einen Unterschied. Sobald jemand Zugriff zu diesem PC hat ist der Zugang unsicher und das kannst du eigentlich mit keiner Variante ändern.
Eine Möglichkeit wäre noch, dass du auf jeder Seite einen neuen öffentlichen Schlüssel übergibst, der für die nächste Seite gebraucht wird (als Cookie beim automatischen login).
Das würde bedeuten du musst dich zu Beginn einmal manuell einloggen und wirst danach jedes Mal mit Hilfe des öffentlichen Schlüssels + deinem Passwort (ein aderes als beim manuellen login!) automatisch eingeloggt.
Das würde bedeuten, dass würde bedeuten, dass es dir weniger schaden würde, wenn jemand an dein Cookie kommt, da es sehr unbeständig ist.
Mit Zitat antworten
  #6 (permalink)  
Alt 30-05-2009, 14:41
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
Einige wollen ein einfach zu merkendes Passwort (welches womöglich sogar noch ein Wort ist wie man es im Duden finden könnte), andere schreiben die Passwörter sogar einfach auf Post-it Zettel und klebens an den Bildschirm.
Und, was macht dich so sicher, dass sich keine fremde Person an den Rechner setzen kann. Oder gar deinen hübschen SSB Browser klauen kann. Oder einen TCP/IP Monitor ans Netz hängt.


Wie schon gesagt:
ein Dauerlogin Cookie mit stetig wechselnder "tan"
HTTPS aktivieren, gegen Netz-Monitore
Einfacher und besser wird wohl nicht gehen.
Dein "spezial Browser" wird ja auch nix anderes machen können, als die Daten per GET oder POST zum Server zu scheuchen.

PS:
Ich benutze "nur" meinen Lieblings Browser. Und ich glaube weniger, dass sich alle deinen aufzwingen lassen wollen.


Mir wird noch nicht klar, wo bei deinem Vorhaben der Sicherheitsgewinn sein soll.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #7 (permalink)  
Alt 30-05-2009, 14:45
fabio
 Registrierter Benutzer
Links : Onlinestatus : fabio ist offline
Registriert seit: Aug 2003
Ort: Wetzikon, ZH, CH
Beiträge: 408
fabio ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Nun klar, wenn jemand Zugriff auf den Computer hat, hätte er auch Zugriff auf die Seite.
Aber eben, wenn jemand Zugriff auf einen Computer hat, hat man so oder so bei einem grossen Teil der Computerbenutzer viel mehr Sachen zu machen als ne Biografie in einer Website zu ändern oder ein neues Kunstwerk hochzuladen (Seite für ne Künstlerin).

Bei dem SSB-Login gehe ich nunmal davon aus, dass kein fremder Zugriff auf den Computer vorhanden ist.
Mir ist klar, dass das eine etwas leichtsinnige Annahme ist, aber ist dies der Fall hat man mal ganz andere Probleme (E-Mail Passwörter im Programm gespeichert, Passwörter von websiten im Browser, und all die persönlichen Dokumente).
Mit Zitat antworten
  #8 (permalink)  
Alt 30-05-2009, 14:51
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
Bei dem SSB-Login gehe ich nunmal davon aus, dass kein fremder Zugriff auf den Computer vorhanden ist.
Dann kannst du aber genausogut davon ausgehen, dass niemand die gespeicherten Passwörter auslesen will/kann/tut.

Entweder gibts keine Angreifer, dann ist jede Vorkehrung sinnfrei.
Oder du möchtest Sicherheit, dann geht wohl kein Weg um ein Passwort und HTTPS drumrum.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #9 (permalink)  
Alt 30-05-2009, 15:22
fabio
 Registrierter Benutzer
Links : Onlinestatus : fabio ist offline
Registriert seit: Aug 2003
Ort: Wetzikon, ZH, CH
Beiträge: 408
fabio ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von combie Beitrag anzeigen
...
Ja natürlich, wie gesagt, wenn jemand Zugriff auf den Computer hat ist das ganze System komprimitiert (oder wie man genau sagt), aber dann ist ne kleine Homepage das geringste Übel.

Das mit dem "Lieblings Browser", ein SSB ist auch nur ein Browser, und da die Künstlerin seit eh und je mit Firefox arbeitet wird sie sich an Prism (Mozillas SSB Browser) kaum stören.

Desweiteren soll das ganze Vorhaben ja weniger ein Sicherheitsgewinn sein, sondern mehr ein Bequemlichkeitsgewinn.
Dass die Sicherheit dabei nicht gleichgross ist wie mit einem Passwort à la "Hjs86:9sP!!a" ist mir klar.

Und wer sich solche Mühe geben würde, einen TCP/IP schnüffler anzuwenden, der hat wohl mehr Interesse an OnlineBanking und E_Mail Passwörtern als das von einem Websiten Login.
Zumal man es für einen TCP/IP Schnüffler tarnen könne, und die login-Datei einfach auf dem Server "productactivation.php" nennen kann und den Textarea-Has "ProductID".


Zitat:
Entweder gibts keine Angreifer, dann ist jede Vorkehrung sinnfrei.
Oder du möchtest Sicherheit, dann geht wohl kein Weg um ein Passwort und HTTPS drumrum.
Dann sollten aber auch alle Funktionen zur Passwortspeicherungen in Browsern, FTP-Clients, E-Mail Clients entfernt werden.
Trotzdem nutzen extrem viele Benutzer diese Funktionen.
Mit Zitat antworten
  #10 (permalink)  
Alt 30-05-2009, 15:38
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Wenn das egal ist kannst du wie gesagt mit gleicher Sicherheit und möglichst wenig Aufwand einfach einen Link erstellen, der das Passwort und den Benutzernamen per GET übergibt. Da brauchst du noch nicht einmal eine HTML-Datei zu erstellen.
Mit Zitat antworten
  #11 (permalink)  
Alt 30-05-2009, 15:41
fabio
 Registrierter Benutzer
Links : Onlinestatus : fabio ist offline
Registriert seit: Aug 2003
Ort: Wetzikon, ZH, CH
Beiträge: 408
fabio ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich werds wohl mit der Textarea machen.
Egal.

Ne andere Frage, wie habt ihr denn die CMS geschützt von euren Projekten?
Nutzt ihr alle HTTPS?
Mit Zitat antworten
  #12 (permalink)  
Alt 30-05-2009, 18:19
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von fabio Beitrag anzeigen
Ja natürlich, wie gesagt, wenn jemand Zugriff auf den Computer hat ist das ganze System komprimitiert (oder wie man genau sagt), aber dann ist ne kleine Homepage das geringste Übel.
Fein, dann kannst du eine Argumentation gegen das Speichern des Passwortes im Browser ja damit auch gleich beerdigen.

Also, gutes Passwort wählen lassen, einmal eingeben und speichern lassen, fertig.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Dynamische Navi bzw. ein Admin Interface für ebenselbe McDope PHP Developer Forum 5 10-03-2007 19:57
Freelancer: Entwicklung Admin Interface nightman Jobgesuche 0 20-04-2006 10:32
VoIP-Prog. / -Admin / Server-Admin / PL/php-Programmierung tomcat02 Jobgesuche 0 21-11-2005 13:34
Gesucht: Linux Admin / Server Admin moolay Jobgesuche 0 06-05-2005 10:27
admin oder Admin oder adMin....... string-problem! groth PHP Developer Forum 2 11-02-2002 15:40

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 20:13 Uhr.