Login ja, aber sicher?

Dann decken deine Testcases also nicht die Möglichkeiten ab.
Das sagte ich doch bereits: Er weist gültige Mailadressen zurück.

Beispielsweise "grease ball"@example.com

Das ist aber keine gültige.
Seit wann sind " und Leerzeichen erlaubt

seit man rfc durchgelesen hat.

Wow, was du alles weisst ...
Seit wann sollten es keine sein - seit dem jemand wie du einen im www gefunden regulären Ausdruck verwendet, der das nicht abdeckt?

In dem regularen Ausdruck stehen alle Zeichen die erlaubt sind.

Ich weiß ja nicht wo das Problem ist aber " und Leerzeichen lässt er nicht zu.

Nein, tun sie nicht.
Da ist das Problem.


Was ist denn bitte so schwer daran zu kapieren, dass "abc def"@example.com eine gültige E-Mail-Adresse darstellt, und dass dein Ausdruck fehlerhaft ist, weil er diese ablehnt?

Hmm Irgendwie seit Ihr vom Ursprünglichen Thema abgekommen.
Als sich um die Mail Adresse zu streiten wurde ganz auf die Frage vergessen.


Das würd ich auch eher als Sicherheitsrisiko einstufen als nutzen.Warum
schreibts du bitte das Passwort in die Session. Welchen sin bwz funktion soll das erfüllen.

Stell dir mal vor jemand schafft es die Session auszulesen.Dann weiß er Automatisch gleich dein Password.Und Md5() hass bring auch keine Sicherheit mehr die kann man alle zurück rechnen.Man braucht nur einwenig im Netzt suchen schon findet man eine Webseite die den Gehasten wert wieder in den Ursprung Text zurück gibt.

Um zum Login zurück zu kommen gibst leider immer user die ein schlechtes pw eingeben (123unsw) Da könnte man auch vorbeugen damit auch leichte paswörter nicht erraten werden.Oder Durch brutforce methoden erratten werden.

1 Login anmelde versuche begrenzen 10 mal dann speren auf Zeit oder acount

2 zusätzlich zum password ein generierte passswort eingeben lassen.
Damit ist gemeint. Bei der Regestriereung gibt der User eine Rechenschema ein bsp.(-10*5+32)
Das login system generiert dann eine Zufallzahle bsp 30 dann were das richtige pw 30-10*5+32=132 also muß er 132 eingeben. So ist gewährt das er immer ein anderes Password zusammen mit dem Text pw eingeben muß.So haben brutforce methoden keine chance.

Man Könnte es dann ja Kontroll Zahl nehnen.

Login ..........
Pw..........
Kontroll Zahl 78
Pw2........


Das rechenschema ist dann nur dem User bekannt

Es ist kein Sicherheitsmangel einer Webapplikation, wenn sie kurze Passwörter zuläßt. Dass komplizierte Passwörter sicherer sind, muß man doch niemandem mehr erzählen. Wer sich trotzdem mit einem einfachen Passwort für ausreichend geschützt hält ... naja der fährt auch Auto ohne sich anzuschnallen und dafür wird die Person bestraft, nicht das Auto.

Kurzum: Es hat nichts mit Sicherheit zu tun, die Dummheit der User programmatisch zu kompensieren.

Ja, genau so ist das.

Überleg mal am Ende fällt doch wieder auf die Webseite zurück.Der User wird der Seite die Schuld geben.Man kann nicht erwarten das jeder User sich mit Sicherheit auskennt. Für den User war das ein Sicheres Password.Kann auch schon um die 8 Stellen gehabt haben oder mehr und eine Bruteforce Programm hat es erratten. Der sin des oben angeführten bespielt war das man jedes mal ein anderes pw eingeben muß.

Selbst wenn es dann mal erraten werden soll kommt er nur 1 mal rein.

Und im Übrings muß man mal vorne Anfangen bevor man die anderen Sicherheitsmängeln durchgeht. Groß zu reden das hätte nix mit Sicherheit zu tun und dann selbst keine Sicherheits sachen erwähnen ist Arm.Das zeigt doch nur das du selbst keine Ahnung von Sicherheit hast.Es einfach auf den User abzuwälzen ist falsch.

So um nicht wieder ganz von Thema anzukommen der Nächste Punkt!

Das Password verschlüsselt zu speichern mach sicher einen sin.nun wer hat den in php schon ein Verschlüsselung Script geschrieben und könnte es Posten so können es dann alle einsetzen.Wens keinen gibst dann können wir ja gemeinsam eines Schreiben.In dieser Richtung gibst ja jetzt viele Möglichkeiten einen Text zu verschlüsseln. Welche denk ihr ist am besten geeignet Vinerger Code, Byte verschlüsselung, unsw.

Wow, na du hast ja voll den Durchblick.

Nö, verschlüsselt ist unsinnig - zumindest im herkömmlichen Sinne einer "Verschlüsselung".

Hashen dagegen ist sinnvoll, und dafür existieren hinreichend gute und geprüfte Algorithmen.

OffTopic:

---

dann were das richtige pw 30-10*5+32=132 also muß er 132 eingeben

Das wäre dann wirklich sicher. Dann kommt wirklich kein Mensch, der ansatzweise rechnen kann, und auch kein rechnender Bot rein. Nur noch Leute wie du.

---

Was heißt "auskennen". Jeder weiß, dass er sich beim Autofahren anschnallen sollte, auch wenn er selbst noch keinen Führerschein hat oder sich mit Kfz-Technik auskennt.
Quark. Das ist doch das gleiche wie ein zweites Passwort. Aber es ist numerisch und wahrscheinlich <1000 (siehe ministry's Post).
Wer eine Brute Force Attacke für deinen Login scriptet, muß also jeden Versuch nicht ein- sondern 1000 mal durchführen. Das macht die Sache langwieriger, aber nicht komplizierter/sicherer.

Wer im Glashaus sitzt, sollte nicht ...

Da sieht man mal wieder das du nicht verstanden hast wie das Funktioniert.Der Unterschied lieg darin da das Pw bei jeder eingabe Anders ist. In kombination mit dem Normalen Pw ist das nicht zu erraten.

Ich geb dir noch ein Beispiel villeicht versteht du es dann.

Pw1 = hans ,pw2 = *2 (extra ganz einfach damit es auch du erstehst)

So geht nun der Login vorsich

-----------------
Kontrolle 14
pw: hans
pw1: 28

Zugang ok
-------------------
Kontrolle 30
pw: hans
pw1: 60

Zugang ok
-----------------
Kontrolle 56
pw: hans
pw1: 10

Zugang verweigert
----------------------------

Ich hoffe das dan nun Verständlich genug erklärt ist.

Meiner Meinung nach machst du damit höchstens ein paar Umstände, mehr nicht. Davon abgesehen hätte ich als Benutzer keine Lust, mich bei jedem Einloggen an mein bei der Registrierung eingegebenes Zahlenschema zu erinnern und zu rechnen.