Off-Topic Diskussionen Kein Platz für Deine Frage gefunden? Dann bist Du hier genau richtig! |
 |
|

08-05-2003, 18:01
|
davidm
Junior Member
|
|
Registriert seit: Apr 2003
Ort: Sollstedt/Thüringen
Beiträge: 75
|
|
Ich hab da mal noch eine Idee:
Und zwar gibt es noch ein Sicherheitsloch....Hacker verwenden oft eine Art des Passwortknackens, indem sie alle Varianten durchführen, bis es einmal zum Erfolg kommt!
Und nun bastele ich ein kleine Add-On, welches dies verhindern soll! Dabei wird eine externe txt-Datei verwendet, indem die Versuche des Login gespeichert werden! Wenn die Zahl zu groß wird, kommt es zu einem Fehler und man hat für 10 Minuten oder so keine Login-Funktion!
Das kjann man natürlich auch direkt in die MySQL Datenbank schreiben, davon hab ich aber nicht sehr viel Wissen! Das kann ja dann jemand anderes machen...
Was denkt ihr darüber???
|

08-05-2003, 18:06
|
Abraxax
  THE REAL HAXE (Administrator)
|
|
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
|
|
ich habe dich abgetrennt.
schliesslich sind die code-schnipsel ein reines code-forum aber dein diskussions-forum.
|

08-05-2003, 18:09
|
mrhappiness
PHP Guru
|
|
Registriert seit: Oct 2002
Beiträge: 14.890
|
|
is zeimliech fürn arsch find ich, da das nur greift, solang ich nich ne neue session-id bekomme oder?
also entweder mach ich den browser einfach neu auf und hab ne andere session-id oder ich hab (praktischer) ein tool dafür, dass afair ne neue anfrage startet und automatisch ne neue session-id bekommt
die ip wolltest du ja nich wirklich benutzen oder doch?
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
|

08-05-2003, 18:16
|
davidm
Junior Member
|
|
Registriert seit: Apr 2003
Ort: Sollstedt/Thüringen
Beiträge: 75
|
|
Nagut, ich will mal warten, was andere User noch so dazu meinen....
Wenn VIELE dafür sind, werde ich es mal hier veröffentlichen......
|

08-05-2003, 18:19
|
Payne_of_Death
Master 
|
|
Registriert seit: Dec 2002
Ort: Folterkeller Nr. 18
Beiträge: 2.953
|
|
Was man noch machen könnte:
1.) Man könnte aber andererseits jedem User 1 zusätzliches Feld mitgeben indem der fehlgeschlagene Logingversuch +1 addiert wird. Ist dieser Zähler beim 10 mal angelangt, könnte man das PW auf ein zufälliges PW setzen und dieses dann an seine eMail-Adresse schicken und gleichzeitig hinterlegen in einem evtl. zusätzlichen Feld das er beim Anmelden ein neues vergeben soll, erst wenn das gemacht wurde verschwindet die Warnmeldung (PopUp zum Nerven z.B.)
2.) In die Session die derzeige Ip-Adresse des Users integrieren sobald diese abweicht, (24H Stunden Trennung durch Provider, bekommt bei Neuanmelden beim Provider neue IP) kann man die Session für ungültig erklären und zum Neuanmelden auffordern.
|

08-05-2003, 18:23
|
mrhappiness
PHP Guru
|
|
Registriert seit: Oct 2002
Beiträge: 14.890
|
|
2. find ich doof, weil ich dann mitunter aus manchen foren oder weiß de rgeier wo rausfliegen würd obwohl ich nix getan hab (session-id reicht eigentlich aus!)
1. hmm, naja, also das is so:
ich hab ein neues passwort und muss den zähler wieder von 10 auf 0 zurücksetzen oder?
is also das gleiche als ob ich überhaupt keinen zähler hätte
und wer sagt dir, dass das neue passwort nicht rausgefunden werden kann?
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
|

08-05-2003, 18:33
|
Payne_of_Death
Master 
|
|
Registriert seit: Dec 2002
Ort: Folterkeller Nr. 18
Beiträge: 2.953
|
|
zu 1.)
Alternativ kann man mit den Mods auch ein Standard PW vereinbaren, welches nach der x Fehlanmeldung automatisch gesetzt wird. Weiterhin könnte man das Profil auch deaktivieren nach dem x Versuch.
@Happy: Könntest aber auch deine Lösungsanregungen die du mitunter in deiner Klasse verwendest hast mal kurz präsentieren.
|

08-05-2003, 18:36
|
davidm
Junior Member
|
|
Registriert seit: Apr 2003
Ort: Sollstedt/Thüringen
Beiträge: 75
|
|
Ich kann ja auch noch Cookies einbauen....da brauch ich mich nicht jedesmal wieder neu einloggen....
Dieses Cookie kann dann 50 Tage auf dem Rechner blewiben, danach löscht es sich automatisch....sicherer ist es natürlich ohne Cookie!
Ich sehe, dass es viele Ideen gibt! Aber die UMSETZTUNG!!!!.....
|

08-05-2003, 18:40
|
Abraxax
  THE REAL HAXE (Administrator)
|
|
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
|
|
Zitat:
Original geschrieben von davidm
Aber die UMSETZTUNG!!!!.....
|
.... musst du alleine machen....
|

08-05-2003, 18:41
|
mrhappiness
PHP Guru
|
|
Registriert seit: Oct 2002
Beiträge: 14.890
|
|
Zitat:
Original geschrieben von Payne_of_Death
zu 1.)
Alternativ kann man mit den Mods auch ein Standard PW vereinbaren, welches nach der x Fehlanmeldung automatisch gesetzt wird.
|
und das passwort is sicherer?
warum nehm ich's dann nich gleich?
Zitat:
@Happy: Könntest aber auch deine Lösungsanregungen die du mitunter in deiner Klasse verwendest hast mal kurz präsentieren.
|
lösungsanregung dafür?
gibt's keine, weil ich nicht wüsste wie ich das machen könnte, außer nach 10 logins das profil zu sperren und dem user nen freischaltlink zu schicken (ich glaub das bau ich noch rein, aber das is imo auch nich das nonplusultrasinequanon *g*) EDIT: @danielm
cookies gibt's schon *g*
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
|

08-05-2003, 18:41
|
davidm
Junior Member
|
|
Registriert seit: Apr 2003
Ort: Sollstedt/Thüringen
Beiträge: 75
|
|
Jupp und da geht es schon los!!!
Ich hab nicht sehr viel Ahnung (um nicht zu sagen KEINE) von PHP und CO...Leider!
Deshalb bin ich auch immer zu auf der Suche noch TUTs und tollen Scripts...
|

08-05-2003, 19:02
|
Abraxax
  THE REAL HAXE (Administrator)
|
|
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
|
|
Zitat:
Original geschrieben von davidm
[...] und tollen Scripts...
|
happy hat auch ein tolles script bei den code-schnipseln gepostet.
|

08-05-2003, 19:10
|
Payne_of_Death
Master 
|
|
Registriert seit: Dec 2002
Ort: Folterkeller Nr. 18
Beiträge: 2.953
|
|
Zitat:
und das passwort is sicherer?
warum nehm ich's dann nich gleich?
|
Nö.
Ganz einfach weil dies nur für die Zwecke gedacht ist, falls jemand 1.) neuer User wird oder 2.) Passwort nicht mehr weiss
3.) Wird das System solange Terror schieben und vereinzelte Teile sperren bis ein anderes Passwort vergeben wurde welches kein Standardpasswort mehr ist.
4.) Kann man dieses Rücksetzungsverfahren noch verfeinern indem man nur 1 Anmeldung allgemein für alle User erlaubt, (falls 2 User ein Passwort zurückgesetzt bekommen haben). Zweitens könnte man einem User der ein PW zurückgesetzt bekommen hat mit einem Zähler in Verbindung bringen -> 1 malige Anmeldung zugelassen -> kein neues PW vergeben bis zur nächsten Standard-PW Anmeldung
-> Account deaktiviert
Es geht doch nicht um die Sicherheit eines PWs, dafür ist der User selber verantwortlich, sonst könnte man ja gleich ein Zufallgeneriertes PW dem User geben wo er nicht ändern kann.
Also 4.) könnte vielleicht eine gute Idee sein
|

08-05-2003, 21:27
|
mrhappiness
PHP Guru
|
|
Registriert seit: Oct 2002
Beiträge: 14.890
|
|
3.) bringt doch auch nix, da es den hacker en dreck kümmert ob bestimmte teile gesperrt sind (die "passwort ändern"-funktion kannst du ja nicht sperren *g*)
ihm reicht's wenn er ins system kommt
4.) den ersten teil versteh ich nich, heißt dass wenn das passwort von user A und von user B zurückgesetzt wurde, dass sich dann nur einer von beiden mit dem standardpasswort anmelden kann? was wenn das Uuser A is, der aber gearde 14 Tage in Urlaub is? Hat B dan die arschkarte gezogen? oder wie meinst du das?
den zweiten teil find ich nich gut, da es ja immer mal vorkommen kann, dass man sich vertippt. du kannst die user ja nich zwingen das passwort mit copy&paste aus der mail zu holen (die ja auch erstmal geschickt werden will)
@Abraxax
danke, zuviel der ehre
P.S. es geht sehrwohl um die sicherheit des passworts. zum einen um das pw des users (das is aber dessen aufgabe) und zum anderen um die des standardpassworts das du vergeben willt
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
|

08-05-2003, 21:59
|
Payne_of_Death
Master 
|
|
Registriert seit: Dec 2002
Ort: Folterkeller Nr. 18
Beiträge: 2.953
|
|
Zitat:
3.) bringt doch auch nix, da es den hacker en dreck kümmert ob bestimmte teile gesperrt sind (die "passwort ändern"-funktion kannst du ja nicht sperren *g*)
ihm reicht's wenn er ins system kommt
|
Kann zwar eh vergessen, aber war aber auch net so gemeint. Ich ging hier von dem Fall aus das einer mit dem Standard PW sich anmeldet.
Zitat:
4.) den ersten teil versteh ich nich, heißt dass wenn das passwort von user A und von user B zurückgesetzt wurde, dass sich dann nur einer von beiden mit dem standardpasswort anmelden kann? was wenn das Uuser A is, der aber gearde 14 Tage in Urlaub is? Hat B dan die arschkarte gezogen? oder wie meinst du das?
den zweiten teil find ich nich gut, da es ja immer mal vorkommen kann, dass man sich vertippt. du kannst die user ja nich zwingen das passwort mit copy&paste aus der mail zu holen (die ja auch erstmal geschickt werden will)
|
Erster Teil mein ich genau so, aber da ich gewissermaßen erzwinge das sich einer innerhalb seiner Standard PW-Session sein PW ändern soll. Hat User B nicht die Arschkarte gezogen.
Zweiter Teil ich muss denen nicht via eMail mitteilen wie das Standard PW heisst, da ich dies grundsätzlich in jeder Session so mitteilen kann für den Fall.
So wissen die Mods wie sie sich im Fall nach einem x Versuch der Fehlanmeldung noch 1 mal anmelden können nachdem ist Admin dran.
Abgesehen davon ist das Standard PW eh keinem von Haus aus erlaubt zu benutzen da:
1.) ein gültiger Usernamen eingegeben werden muss
1.1) dieser muss entweder ein Mod sein
2.) das System muss den Account zurückgesetzt haben
3.) das Standard-PW muss richtig eingegeben werden
4.) Sollte das Standard-PW 3x mal falsch eingegeben worden sein -> Account deaktiviert
Daher denke ich du interpretierst hier was anderes als ich meine, hoffe das ist jetzt so ungefähr klar.
hm, ohne eMail ist es ein Hauch von Unsicher wenn man weiss wie das ganze funktioniert.
Deshalb sollte das Standard PW doch besser zufallsgeneriert sein und in der Datenbank gesichert werden und so zum User kommen, der dann auf einen Link klickt.
Und die eMail ist dann 5 Tage gültig (mit dem PW), danach ist der Account deaktiviert.
Also Sicherheit ohne eMail Kommunikation nicht machbar
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
Themen-Optionen |
|
Thema bewerten |
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
|
PHP News
|