[PHP] Login-System in PHP programmieren

artemissays schrieb:
Ich frage mich gerade wie du eine IP faken willst :roll:, ausser du benutzt den gleichen Anschluss oder hackst das WLAN des Betreffenden :LOL:
Zum Vergrößern anklicken....

Faken muss ja nichtmal, gleiche IP reicht ja...
NAT z.B., in seltenen Faellen ist vllt sogar IP-Spoofing moeglich, aber ich seh vorallem beim NAT das Problem, da heut ja an jeder Stelle genatted wird.

TLS kann man auch ueber die MitM-Methode knacken, kommt wiederum auf die Schluessellaenge an wie lange das Spielchen dauert.
Zum Vergrößern anklicken....

Naja, da der User hoffendlich nicht so lange eingeloggt ist, dass du es schaffst die Verschluesselung (AES oder RSA) zu knacken, ist das das geringere Problem einer MitM Attacke.

Eher noch koennte ne MitM Attacke so ablaufen:
Der Angreifer hat nen Cert, dass genau auf die Seite des Ziels des Benutzers ausgestellt ist und von einer CA gesigned ist, die der Browser kennt/die der des orginal Certs entspricht.

Der Benutzer wird ueber die Seite des Angreifers geleitet, sieht das Schloss in seiner Adresszeile und schoepft keinen Verdacht.
 
artemissays schrieb:
Naja wenn der Nutzer ne staendig aendernde Ip hat dann brauchste dir ueber Sicherheit eh keine Gedanken machen, weil wer seinen Traffic gerne ueber Proxies leitet ... :roll:

Ich frag mich dann auch mal wie du das machst auf sicherem Wege. Also validieren ueber IP geht ja dann schonmal nicht. Cookies sind ja dann wahrscheinlich auch boese, normale Sessions kann man ja auch nicht benutzen weil die entweder in nem Cookie von PHP gespeichert werden oder halt an die URL gehaengt werden, da muss man dann aber auch wieder an SessionFixation denken, also man kann das Spielchen gerne weiter drehen ...
Zum Vergrößern anklicken....

es gibt kein wirksammen schutz gegen session fixation und hijacking... entweder ist der schutz zu extrem und sperrst damit user aus, oder der schutz ist lala, der mit einfachen mitteln umgangen werden kann wenn man weiß wie er ausschaut. und soviele möglichkeiten gibts bei dem thema nicht...

Damit die sicher zum Klienten kommt, bietet sich TLS an.
[...]
Alles andere, Browser ueberpruefen, IP, ... sind nur Spielerei, die man leicht faken kann, wenn man es drauf anlegt - TLS knackt man jedoch nicht so leicht (wenn es richtig verwendet wird).
Zum Vergrößern anklicken....

verschlüsselte verbindung schön und gut... aber die gefahr dass die session id beim übertragen vom server zum cleint abgefangen wird ist verschwindent gering. (wenn jemand in der lage ist zwischen server und client zu lauschen ist die session id eh nebensächlich) die größte gefahr liegen in unsicheren webanwendungen (hijacking) und in der menschlichen "blödheit" (fixation).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

klamm
  • Angeheftet
Fehlersuche neues System
Antworten
8
Aufrufe
1K
klamm
klamm
Zurück
Oben