php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Sonstiges > Off-Topic Diskussionen
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Off-Topic Diskussionen Kein Platz für Deine Frage gefunden? Dann bist Du hier genau richtig!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 08-05-2003, 18:01
davidm
 Junior Member
Links : Onlinestatus : davidm ist offline
Registriert seit: Apr 2003
Ort: Sollstedt/Thüringen
Beiträge: 75
davidm ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich hab da mal noch eine Idee:
Und zwar gibt es noch ein Sicherheitsloch....Hacker verwenden oft eine Art des Passwortknackens, indem sie alle Varianten durchführen, bis es einmal zum Erfolg kommt!
Und nun bastele ich ein kleine Add-On, welches dies verhindern soll! Dabei wird eine externe txt-Datei verwendet, indem die Versuche des Login gespeichert werden! Wenn die Zahl zu groß wird, kommt es zu einem Fehler und man hat für 10 Minuten oder so keine Login-Funktion!
Das kjann man natürlich auch direkt in die MySQL Datenbank schreiben, davon hab ich aber nicht sehr viel Wissen! Das kann ja dann jemand anderes machen...

Was denkt ihr darüber???
Mit Zitat antworten
  #2 (permalink)  
Alt 08-05-2003, 18:06
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

ich habe dich abgetrennt.

schliesslich sind die code-schnipsel ein reines code-forum aber dein diskussions-forum.
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #3 (permalink)  
Alt 08-05-2003, 18:09
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

is zeimliech fürn arsch find ich, da das nur greift, solang ich nich ne neue session-id bekomme oder?
also entweder mach ich den browser einfach neu auf und hab ne andere session-id oder ich hab (praktischer) ein tool dafür, dass afair ne neue anfrage startet und automatisch ne neue session-id bekommt

die ip wolltest du ja nich wirklich benutzen oder doch?
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #4 (permalink)  
Alt 08-05-2003, 18:16
davidm
 Junior Member
Links : Onlinestatus : davidm ist offline
Registriert seit: Apr 2003
Ort: Sollstedt/Thüringen
Beiträge: 75
davidm ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Nagut, ich will mal warten, was andere User noch so dazu meinen....
Wenn VIELE dafür sind, werde ich es mal hier veröffentlichen......
__________________
MFG
David M.

http://www.damo-online.de
Mit Zitat antworten
  #5 (permalink)  
Alt 08-05-2003, 18:19
Payne_of_Death
 Master
Links : Onlinestatus : Payne_of_Death ist offline
Registriert seit: Dec 2002
Ort: Folterkeller Nr. 18
Beiträge: 2.953
Payne_of_Death ist zur Zeit noch ein unbeschriebenes Blatt
Payne_of_Death eine Nachricht über ICQ schicken Payne_of_Death eine Nachricht über AIM schicken Payne_of_Death eine Nachricht über Yahoo! schicken
Standard

Was man noch machen könnte:

1.) Man könnte aber andererseits jedem User 1 zusätzliches Feld mitgeben indem der fehlgeschlagene Logingversuch +1 addiert wird. Ist dieser Zähler beim 10 mal angelangt, könnte man das PW auf ein zufälliges PW setzen und dieses dann an seine eMail-Adresse schicken und gleichzeitig hinterlegen in einem evtl. zusätzlichen Feld das er beim Anmelden ein neues vergeben soll, erst wenn das gemacht wurde verschwindet die Warnmeldung (PopUp zum Nerven z.B.)

2.) In die Session die derzeige Ip-Adresse des Users integrieren sobald diese abweicht, (24H Stunden Trennung durch Provider, bekommt bei Neuanmelden beim Provider neue IP) kann man die Session für ungültig erklären und zum Neuanmelden auffordern.
__________________
MfG Payne_of_Death

Manual(s): <-| PHP | MySQL | SELFHTML |->
Merke:
Du brauchst das Rad nicht neu erfinden ! <-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

Murphy`s Importanst LAWS
Jede Lösung bringt nur neue Probleme
Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
In jedem kleinen Problem steckt ein großes, das gern raus moechte.
Mit Zitat antworten
  #6 (permalink)  
Alt 08-05-2003, 18:23
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

2. find ich doof, weil ich dann mitunter aus manchen foren oder weiß de rgeier wo rausfliegen würd obwohl ich nix getan hab (session-id reicht eigentlich aus!)

1. hmm, naja, also das is so:
ich hab ein neues passwort und muss den zähler wieder von 10 auf 0 zurücksetzen oder?
is also das gleiche als ob ich überhaupt keinen zähler hätte
und wer sagt dir, dass das neue passwort nicht rausgefunden werden kann?
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #7 (permalink)  
Alt 08-05-2003, 18:33
Payne_of_Death
 Master
Links : Onlinestatus : Payne_of_Death ist offline
Registriert seit: Dec 2002
Ort: Folterkeller Nr. 18
Beiträge: 2.953
Payne_of_Death ist zur Zeit noch ein unbeschriebenes Blatt
Payne_of_Death eine Nachricht über ICQ schicken Payne_of_Death eine Nachricht über AIM schicken Payne_of_Death eine Nachricht über Yahoo! schicken
Standard

zu 1.)
Alternativ kann man mit den Mods auch ein Standard PW vereinbaren, welches nach der x Fehlanmeldung automatisch gesetzt wird. Weiterhin könnte man das Profil auch deaktivieren nach dem x Versuch.

@Happy: Könntest aber auch deine Lösungsanregungen die du mitunter in deiner Klasse verwendest hast mal kurz präsentieren.
__________________
MfG Payne_of_Death

Manual(s): <-| PHP | MySQL | SELFHTML |->
Merke:
Du brauchst das Rad nicht neu erfinden ! <-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

Murphy`s Importanst LAWS
Jede Lösung bringt nur neue Probleme
Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
In jedem kleinen Problem steckt ein großes, das gern raus moechte.
Mit Zitat antworten
  #8 (permalink)  
Alt 08-05-2003, 18:36
davidm
 Junior Member
Links : Onlinestatus : davidm ist offline
Registriert seit: Apr 2003
Ort: Sollstedt/Thüringen
Beiträge: 75
davidm ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich kann ja auch noch Cookies einbauen....da brauch ich mich nicht jedesmal wieder neu einloggen....
Dieses Cookie kann dann 50 Tage auf dem Rechner blewiben, danach löscht es sich automatisch....sicherer ist es natürlich ohne Cookie!


Ich sehe, dass es viele Ideen gibt! Aber die UMSETZTUNG!!!!.....
__________________
MFG
David M.

http://www.damo-online.de
Mit Zitat antworten
  #9 (permalink)  
Alt 08-05-2003, 18:40
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von davidm
Aber die UMSETZTUNG!!!!.....
.... musst du alleine machen....
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #10 (permalink)  
Alt 08-05-2003, 18:41
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

Zitat:
Original geschrieben von Payne_of_Death
zu 1.)
Alternativ kann man mit den Mods auch ein Standard PW vereinbaren, welches nach der x Fehlanmeldung automatisch gesetzt wird.
und das passwort is sicherer?
warum nehm ich's dann nich gleich?
Zitat:
@Happy: Könntest aber auch deine Lösungsanregungen die du mitunter in deiner Klasse verwendest hast mal kurz präsentieren.
lösungsanregung dafür?
gibt's keine, weil ich nicht wüsste wie ich das machen könnte, außer nach 10 logins das profil zu sperren und dem user nen freischaltlink zu schicken (ich glaub das bau ich noch rein, aber das is imo auch nich das nonplusultrasinequanon *g*)
EDIT:
@danielm
cookies gibt's schon *g*

__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #11 (permalink)  
Alt 08-05-2003, 18:41
davidm
 Junior Member
Links : Onlinestatus : davidm ist offline
Registriert seit: Apr 2003
Ort: Sollstedt/Thüringen
Beiträge: 75
davidm ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Jupp und da geht es schon los!!!
Ich hab nicht sehr viel Ahnung (um nicht zu sagen KEINE) von PHP und CO...Leider!
Deshalb bin ich auch immer zu auf der Suche noch TUTs und tollen Scripts...
__________________
MFG
David M.

http://www.damo-online.de
Mit Zitat antworten
  #12 (permalink)  
Alt 08-05-2003, 19:02
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von davidm
[...] und tollen Scripts...
happy hat auch ein tolles script bei den code-schnipseln gepostet.
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #13 (permalink)  
Alt 08-05-2003, 19:10
Payne_of_Death
 Master
Links : Onlinestatus : Payne_of_Death ist offline
Registriert seit: Dec 2002
Ort: Folterkeller Nr. 18
Beiträge: 2.953
Payne_of_Death ist zur Zeit noch ein unbeschriebenes Blatt
Payne_of_Death eine Nachricht über ICQ schicken Payne_of_Death eine Nachricht über AIM schicken Payne_of_Death eine Nachricht über Yahoo! schicken
Standard

Zitat:
und das passwort is sicherer?
warum nehm ich's dann nich gleich?
Nö.

Ganz einfach weil dies nur für die Zwecke gedacht ist, falls jemand 1.) neuer User wird oder 2.) Passwort nicht mehr weiss

3.) Wird das System solange Terror schieben und vereinzelte Teile sperren bis ein anderes Passwort vergeben wurde welches kein Standardpasswort mehr ist.

4.) Kann man dieses Rücksetzungsverfahren noch verfeinern indem man nur 1 Anmeldung allgemein für alle User erlaubt, (falls 2 User ein Passwort zurückgesetzt bekommen haben). Zweitens könnte man einem User der ein PW zurückgesetzt bekommen hat mit einem Zähler in Verbindung bringen -> 1 malige Anmeldung zugelassen -> kein neues PW vergeben bis zur nächsten Standard-PW Anmeldung
-> Account deaktiviert

Es geht doch nicht um die Sicherheit eines PWs, dafür ist der User selber verantwortlich, sonst könnte man ja gleich ein Zufallgeneriertes PW dem User geben wo er nicht ändern kann.

Also 4.) könnte vielleicht eine gute Idee sein
__________________
MfG Payne_of_Death

Manual(s): <-| PHP | MySQL | SELFHTML |->
Merke:
Du brauchst das Rad nicht neu erfinden ! <-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

Murphy`s Importanst LAWS
Jede Lösung bringt nur neue Probleme
Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
In jedem kleinen Problem steckt ein großes, das gern raus moechte.
Mit Zitat antworten
  #14 (permalink)  
Alt 08-05-2003, 21:27
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

3.) bringt doch auch nix, da es den hacker en dreck kümmert ob bestimmte teile gesperrt sind (die "passwort ändern"-funktion kannst du ja nicht sperren *g*)
ihm reicht's wenn er ins system kommt

4.) den ersten teil versteh ich nich, heißt dass wenn das passwort von user A und von user B zurückgesetzt wurde, dass sich dann nur einer von beiden mit dem standardpasswort anmelden kann? was wenn das Uuser A is, der aber gearde 14 Tage in Urlaub is? Hat B dan die arschkarte gezogen? oder wie meinst du das?

den zweiten teil find ich nich gut, da es ja immer mal vorkommen kann, dass man sich vertippt. du kannst die user ja nich zwingen das passwort mit copy&paste aus der mail zu holen (die ja auch erstmal geschickt werden will)


@Abraxax
danke, zuviel der ehre

P.S. es geht sehrwohl um die sicherheit des passworts. zum einen um das pw des users (das is aber dessen aufgabe) und zum anderen um die des standardpassworts das du vergeben willt
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #15 (permalink)  
Alt 08-05-2003, 21:59
Payne_of_Death
 Master
Links : Onlinestatus : Payne_of_Death ist offline
Registriert seit: Dec 2002
Ort: Folterkeller Nr. 18
Beiträge: 2.953
Payne_of_Death ist zur Zeit noch ein unbeschriebenes Blatt
Payne_of_Death eine Nachricht über ICQ schicken Payne_of_Death eine Nachricht über AIM schicken Payne_of_Death eine Nachricht über Yahoo! schicken
Standard

Zitat:
3.) bringt doch auch nix, da es den hacker en dreck kümmert ob bestimmte teile gesperrt sind (die "passwort ändern"-funktion kannst du ja nicht sperren *g*)
ihm reicht's wenn er ins system kommt
Kann zwar eh vergessen, aber war aber auch net so gemeint. Ich ging hier von dem Fall aus das einer mit dem Standard PW sich anmeldet.


Zitat:
4.) den ersten teil versteh ich nich, heißt dass wenn das passwort von user A und von user B zurückgesetzt wurde, dass sich dann nur einer von beiden mit dem standardpasswort anmelden kann? was wenn das Uuser A is, der aber gearde 14 Tage in Urlaub is? Hat B dan die arschkarte gezogen? oder wie meinst du das?

den zweiten teil find ich nich gut, da es ja immer mal vorkommen kann, dass man sich vertippt. du kannst die user ja nich zwingen das passwort mit copy&paste aus der mail zu holen (die ja auch erstmal geschickt werden will)
Erster Teil mein ich genau so, aber da ich gewissermaßen erzwinge das sich einer innerhalb seiner Standard PW-Session sein PW ändern soll. Hat User B nicht die Arschkarte gezogen.

Zweiter Teil ich muss denen nicht via eMail mitteilen wie das Standard PW heisst, da ich dies grundsätzlich in jeder Session so mitteilen kann für den Fall.
So wissen die Mods wie sie sich im Fall nach einem x Versuch der Fehlanmeldung noch 1 mal anmelden können nachdem ist Admin dran.

Abgesehen davon ist das Standard PW eh keinem von Haus aus erlaubt zu benutzen da:

1.) ein gültiger Usernamen eingegeben werden muss
1.1) dieser muss entweder ein Mod sein
2.) das System muss den Account zurückgesetzt haben
3.) das Standard-PW muss richtig eingegeben werden
4.) Sollte das Standard-PW 3x mal falsch eingegeben worden sein -> Account deaktiviert

Daher denke ich du interpretierst hier was anderes als ich meine, hoffe das ist jetzt so ungefähr klar.

hm, ohne eMail ist es ein Hauch von Unsicher wenn man weiss wie das ganze funktioniert.

Deshalb sollte das Standard PW doch besser zufallsgeneriert sein und in der Datenbank gesichert werden und so zum User kommen, der dann auf einen Link klickt.
Und die eMail ist dann 5 Tage gültig (mit dem PW), danach ist der Account deaktiviert.

Also Sicherheit ohne eMail Kommunikation nicht machbar
__________________
MfG Payne_of_Death

Manual(s): <-| PHP | MySQL | SELFHTML |->
Merke:
Du brauchst das Rad nicht neu erfinden ! <-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

Murphy`s Importanst LAWS
Jede Lösung bringt nur neue Probleme
Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
In jedem kleinen Problem steckt ein großes, das gern raus moechte.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 10:54 Uhr.