Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 17.01.2007, 11:42:02   #1 (permalink)
Erfahrener Benutzer
Benutzerbild von mbassus

ID: 104267
Lose-Remote
Reallife

mbassus eine Nachricht über ICQ schicken mbassus eine Nachricht über MSN schicken mbassus eine Nachricht über Skype™ schicken
Reg: 23.04.2006
Beiträge: 5.013
Standard Optionale EF Passwortübergabe per md5() (&md5=1) ?

Ahoy,..

da ich selbst für mehrere große Seiten Programmiere und somit eigentlich zugriff auf mehrere Milliarden Lose habe, kam mir folgende Idee...

Wenn man einmal als Programmierer Zugriff auf einen Skript hat, hat man theoretisch auch Zugriff auf die darauf befindlichen Lose vom EF. Nun, es gibt viele Skriptkiddies, die hier und da mal was machen wollen, sich den Skript ziehen.. und dann nichts tun.

Da es ja bekannt ist.. das viele Leute Universalpasswörter haben, können wir der doofheit wieder ein stück entgegentreten, indem man das EF Passwort einfach per MD5 übergibt und optional noch den Parameter md5=1 an die URL mit dranhängt.

Den genutzten EF kann man damit natürlich nicht schützen, aber vielleicht viele andere Accounts des eigentlichen User´s.

Liebe Grüße,
Martin.
mbassus ist offline   Mit Zitat antworten
Alt 17.01.2007, 14:05:33   #2 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Zitat:
Den genutzten EF kann man damit natürlich nicht schützen, aber vielleicht viele andere Accounts des eigentlichen User´s.
Wenn ein User überall das gleiche PW hat, ist er selbst dran schuld, dann hätte er auch im FTP oder wo das "Scriptkiddie" dran ist, auch das gleiche PW und somit wäre es ja dann schon wieder überflüssig.

Btw: md5 ist auch nicht sicher...

Gruß
Gremlin
 
27o8 ist offline   Mit Zitat antworten
Alt 17.01.2007, 15:24:56   #3 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Zwei weitere Gegenargumente:
- Rainbow Tables (außer es gibt Salz in die Suppe)
- md5-Passwörter auf von Skriptkiddies administrierten Loseseiten, etc. (Missbrauch)
 
tedlemegba ist offline   Mit Zitat antworten
Alt 17.01.2007, 16:25:38   #4 (permalink)
Imagecrate.de

Reg: 08.05.2006
Beiträge: 107
Standard

md5(md5($pass));
KlammID:170769
tjark ist offline   Mit Zitat antworten
Alt 17.01.2007, 20:30:35   #5 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Zitat:
Zitat von tjark Beitrag anzeigen
md5(md5($pass));
Joa.. glücklicherweise bringt das genauso wenig, wenn nicht noch weniger.
Und die Anzahl an Möglichkeiten fällt auf geht auf 3,4e+38 zurück. (Edit: okay, moment... kann sein, dass das meinerseits keinen Sinn ergibt. )
 
tedlemegba ist offline   Mit Zitat antworten
Alt 17.01.2007, 20:39:55   #6 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Naja die doppelte "verschlüsselung" bringt schon was aber nicht viel, man kann immer noch an das pw kommen, dauert halt etwas länger als wenn man z.B. nur ein 6 stelliges pw oder so hat
 
27o8 ist offline   Mit Zitat antworten
Alt 17.01.2007, 22:55:56   #7 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Zitat:
Zitat von gremlin Beitrag anzeigen
Naja die doppelte "verschlüsselung" bringt schon was aber nicht viel, man kann immer noch an das pw kommen, dauert halt etwas länger als wenn man z.B. nur ein 6 stelliges pw oder so hat
Das tolle ist halt, dass man das Passwort ja gar nicht mehr braucht und das Ergebnis von md5 beschränkt sich eben auf [0-9a-f]{32}.
 
tedlemegba ist offline   Mit Zitat antworten
Alt 17.01.2007, 23:44:59   #8 (permalink)
be forever curious
Benutzerbild von tleilax

ID: 27936
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.423
Standard

Öhrm, [0-9a-f]{32} trifft immer noch auf 16^32 verschiedene Strings zu. Wenn das jemand bruteforcen will, können wir alle mit 'ner fetten Startseitenvergütungserhöhung rechnen. Dazu wären im Worst-Case nämlich immerhin 6.805.647.338.418.769.269.267.492.148.635.364 EF-Accounts à 50k Abfragen zu je 5€ nötig. Die restliche Mathematik überlasse ich dem geneigten Leser...

Zum eigentlichen Vorschlag:

Irgendwie bin ich dagegen. Wer auf seine Passwörter nicht aufpasst, sollte keine besondere Behandlung erfahren und darf meinetwegen gern auf die Schnauze fallen. Dann lernt er vielleicht wenigstens draus...
.lange tage und angenehme nächte, tlx
:.whatthemovie.com (Screenshots raten) | PHP ExportForce-Klasse
tleilax ist offline   Mit Zitat antworten
Alt 19.01.2007, 14:19:29   #9 (permalink)
Eta Capricorni
Benutzerbild von scriper

ID: 57943
Lose-Remote

scriper eine Nachricht über ICQ schicken
Reg: 03.05.2006
Beiträge: 2.757
Standard

Zitat:
Zitat von tleilax Beitrag anzeigen

Irgendwie bin ich dagegen. Wer auf seine Passwörter nicht aufpasst, sollte keine besondere Behandlung erfahren und darf meinetwegen gern auf die Schnauze fallen. Dann lernt er vielleicht wenigstens draus...
mhm, dass kann man jetzt so und so sehen.

Immerhin könnte man dann die Mehrbelastung der Admins durch "zurückholen der Lose" minimieren - vorausgesetzt man sagt den Usern dann auch mal "Pech gehabt - selbst schuld" und macht es als Admin nicht zB. aus Kulanz doch...

scriper ist offline   Mit Zitat antworten
Alt 20.01.2007, 18:21:35   #10 (permalink)
Icy Bounce Back Champion
*
Benutzerbild von Icy

ID: 187087
Lose-Remote

Reg: 28.04.2006
Beiträge: 385
Standard

Zitat:
Zitat von scriper Beitrag anzeigen
mhm, dass kann man jetzt so und so sehen.

Immerhin könnte man dann die Mehrbelastung der Admins durch "zurückholen der Lose" minimieren - vorausgesetzt man sagt den Usern dann auch mal "Pech gehabt - selbst schuld" und macht es als Admin nicht zB. aus Kulanz doch...
Was minimiert man den groß? Hat man die EF Zugangsdaten durch ein Bug rausbekommen, dann übernimmt man 1:1 zum Abheben einfach die Daten, die das Skript auch nimmt.

Der EF Tresor ist ein guter Ansatz, ich denke man sollte das EF Passwort zum Transferieren vom normalen EF Login abkoppeln, mit dem potentiell fremden bekannten Losepasswort kommt man schließlich auch nicht zwingend in die Foren- oder Klammaccounts rein.
*
Icy ist offline   Mit Zitat antworten
Alt 20.01.2007, 19:45:57   #11 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Zitat:
Zitat von Icy Beitrag anzeigen
Der EF Tresor ist ein guter Ansatz, ich denke man sollte das EF Passwort zum Transferieren vom normalen EF Login abkoppeln, (...)
Wie meinst du das?
 
tedlemegba ist offline   Mit Zitat antworten
Alt 21.01.2007, 19:23:39   #12 (permalink)
Icy Bounce Back Champion
*
Benutzerbild von Icy

ID: 187087
Lose-Remote

Reg: 28.04.2006
Beiträge: 385
Standard

Zitat:
Zitat von happymaster Beitrag anzeigen
Wie meinst du das?
Das man zum EF Login (womit man auch die Daten ändern kann) und für das Skript verschiedene Passwörter nehmen kann
*
Icy ist offline   Mit Zitat antworten
Alt 23.01.2007, 12:21:44   #13 (permalink)
Erfahrener Benutzer
Benutzerbild von mbassus

ID: 104267
Lose-Remote
Reallife

mbassus eine Nachricht über ICQ schicken mbassus eine Nachricht über MSN schicken mbassus eine Nachricht über Skype™ schicken
Reg: 23.04.2006
Beiträge: 5.013
Standard

Zitat:
Zitat von Icy Beitrag anzeigen
Das man zum EF Login (womit man auch die Daten ändern kann) und für das Skript verschiedene Passwörter nehmen kann
Bringt dir nich viel, außer die Lose sind tatsächlich (und das wird eher selten der Fall sein) im EF Tresor.
mbassus ist offline Threadstarter   Mit Zitat antworten
Alt 23.01.2007, 23:57:57   #14 (permalink)
Icy Bounce Back Champion
*
Benutzerbild von Icy

ID: 187087
Lose-Remote

Reg: 28.04.2006
Beiträge: 385
Standard

Zitat:
Zitat von du-nervst Beitrag anzeigen
Bringt dir nich viel, außer die Lose sind tatsächlich (und das wird eher selten der Fall sein) im EF Tresor.
Der primäre Zweck ist auch, das man mit dem potentiell fremden bekanntes Passwort, das unverschlüsselt im Skript oder in der Datenbank steht, nicht gleich den EF Account samt übriggebliebenden Anfragen kapern kann, indem man Email, Daten und Passwort ändert und den Eigentümer ganz aussperrt.
Das die Lose, die nicht im Tresor sind, weg sind, ist mir schon klar.
*
Icy ist offline   Mit Zitat antworten
Alt 24.01.2007, 00:38:15   #15 (permalink)
Erfahrener Benutzer
Benutzerbild von mbassus

ID: 104267
Lose-Remote
Reallife

mbassus eine Nachricht über ICQ schicken mbassus eine Nachricht über MSN schicken mbassus eine Nachricht über Skype™ schicken
Reg: 23.04.2006
Beiträge: 5.013
Standard

Zitat:
Zitat von Icy Beitrag anzeigen
[...] nicht gleich den EF Account samt übriggebliebenden Anfragen kapern kann, indem man Email, Daten und Passwort ändert und den Eigentümer ganz aussperrt.
Naja, Allgemein stimmt das, aber es lohnt sich nicht. Denn wenn sowas passierd, wird sicherlich schnell was im Abuse-Privat aufgemacht.. und in der Regel bearbeitet Mone das innerhalb weniger minuten..
mbassus ist offline Threadstarter   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
surftausch.de / autom. Besuchertausch (optionale Vergütung in losen) / 25.05.06 Banane Andere 2 31.08.2012 14:51:07
mysql_query() optionale Verbindungs-Kennung Pflicht? FredRedHead Programmierung 17 04.06.2006 10:09:59


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:17:53 Uhr.