[Erledigt] Passwort verstecken... Request: mal gehts, mal nicht

defcut · 28.08.2009, 00:25

ich möchte Ajax nutzen um mein Passwort im Quelltext zu verstecken. Hierfür hab ich mir das Script gebastelt... nur wenn ich das alert() rausnehme, bekomme ich mein Passwort nicht in das gewünschte Feld, bzw garnicht. Muss ich irgendwo eine warteschleife einbauen?

PHP-Code:

  function getpasswort(passid){
  // Passwort holen
  
  xmlhttp=GetXmlHttpObject();
  url="aktion.php?aktion=getpasswort&id=" + passid;
  
  xmlhttp.open("GET",url,true);
  xmlhttp.send(null); //Ende Ajax Zeugs
  
  xmlhttp.onreadystatechange=stateChanged(passid);
 
}

function stateChanged(passid){
  // Passwort in input value schreiben

alert("test");
  if (xmlhttp.readyState==4)
  alert("test");
  {
    document.getElementById(passid).value = xmlhttp.responseText;
  }
}

HPR1974 · 28.08.2009, 09:03

das is ja klasse, Du hast also ein Script mit dem man sich jedes Passwort liefern lassen kann

Arne Drews · 28.08.2009, 11:03

PHP-Code:

  function getpasswort(passid){

  // Passwort holen

  

  xmlhttp=GetXmlHttpObject();

  url="aktion.php?aktion=getpasswort&id=" + passid;

  

  xmlhttp.open("GET",url,true);

  xmlhttp.send(null); //Ende Ajax Zeugs

  

  xmlhttp.onreadystatechange = function() {

    if(stateChanged(passid)) document.getElementById(passid).value=xmlhttp.responseText;

  }

}

 
function stateChanged(passid){

  if (xmlhttp.readyState==4 && xmlhttp.status==200) return true;

  else return false;

}

Wobei ich das Ganze auch ziemlich Absurdum finde!
Schliesse mich da HPR1974 ganz an...

Capfly · 28.08.2009, 11:09

Passwörter nie offen liegen lassen!
Auch nicht in der Adressleiste!

ak5 · 28.08.2009, 13:11

Code:

  url="aktion.php?aktion=getpasswort&id=" + passid;
  xmlhttp.open("GET",url,true);

Das ist doch wohl nicht ernst gemeint?

Arne Drews · 28.08.2009, 13:23

Is doch egal, wenn er die sowieso in ein Input-Value schreiben will.
Dann kann er das auch gleich per GET machen...
Das nenn ich souverän...

ak5 · 28.08.2009, 13:56

Schon die Existenz eines Scriptes, welches durch Eingabe einer ID das PW rausrückt.. unfassbar!
Ich stelle mir das mal so vor: Cookie enthält User-ID, wenn User kommt, wird das PW reingeschrieben. Na prost - sobald das die User mitkriegen ist dein Admin-Account und auch kein anderer mehr sicher.

Capfly · 28.08.2009, 14:12

Zitat:

Zitat von ak5

Schon die Existenz eines Scriptes, welches durch Eingabe einer ID das PW rausrückt.. unfassbar!
Ich stelle mir das mal so vor: Cookie enthält User-ID, wenn User kommt, wird das PW reingeschrieben. Na prost - sobald das die User mitkriegen ist dein Admin-Account und auch kein anderer mehr sicher.

Drum speichere ich es verschlüsselt im Cookie ab

Das solltest du dann auch anwenden.
Zusätzlich auf jeder Seite das Pw im Cookie mit dem in der DB prüfen, dann ist es auch etwas sicherer

defcut · 28.08.2009, 14:41

thx arne...

Zitat:

Zitat von ak5

Schon die Existenz eines Scriptes, welches durch Eingabe einer ID das PW rausrückt.. unfassbar!
Ich stelle mir das mal so vor: Cookie enthält User-ID, wenn User kommt, wird das PW reingeschrieben. Na prost - sobald das die User mitkriegen ist dein Admin-Account und auch kein anderer mehr sicher.

Nein, mein script soll der sicherheit beitragen nicht anders, die aktion.php überprüft den user ja erstmal auf leserechte und holt ein passwort aus der datenbank, das durch ein password des users aus dem session cookie entschlüsselt wird. erst dann wirds ausgegeben. nur es wäre doof wenn sich jemand, 20 Logins für diverse seiten speichert und man kann alle passwörter aus dem quelltext entnehmen. mit dem script wirds verhindert. wer bei gmx, oder auf web.de angemeldet ist, kann auch sehen, dass die pws für die sozialen netzwerke auch aus dem quelltext ausgeblendet sind und per request geholt werden.

PHP-Code:

  <div id="icon2" class="symbol" style="left:100px;top:0px" onmouseover="objektbild('dnd2','url(img/bullet_toggle_plus.png)');objektbild('set2','url(img/bullet_wrench.png)');objektfarbe('icon2','#CCC');getpasswort('pass2')" onmouseout="objektbild('dnd2','url()');objektbild('set2','url()');objektfarbe('icon2','transparent');" >

      <form id="Loginbox" method="post" action="https://secure.schuelervz.net/Login" target="_blank">

<input type="hidden" name="email" id="Login_email" value="lassmichranda@vollbio.de" />

<input type="hidden" name="password" id="pass2" value="" />

<input  type="hidden" name="reminder" id="Login_remind" value="1" class="remind-login"/>

<input src="img/tb_webseite/schuelervz.png" type="image" name="login" value="Einloggen" />

 
<input type="hidden" name="jsEnabled" id="jsEnabled" value="false" />

<input type="hidden" name="formkey" value="24274d61e217d893d3f7f9ee1c5bdf36a47129dd28750917a23a996e2fd9f10544e46082190bca84c317a23ac21c87352ebc9a65d72ff3022e081bfa09c23b70507f59bc838dc3107fd014d7bb02ea0ea6477d18cde5d63e87bce515d9624a66" />

<input type="hidden" name="iv" value="7a44876666583bed946b1927d19e078e" />

</form>Mein SchülerVZ<div id="dnd2" class="dnd" onmousedown="dragstart('icon2',2);"></div><div class="set" id="set2"></div>

Aber trotzdem danke für eure hilfe

Pete-Bremen · 17.02.2010, 22:52

Habe ein Formular, mit dem einige Daten als profil eingegeben werden können -funzt auch. Nun möchte ich dies jedoch gern so gestalten, das auch eine Anmeldung mit passwort (zwei mal zum reg. und später einmal zum einloggen) nötig wird - kann mir wer sagen, wie das geht - wie muß ich das pass Feld in mysql einstellen ? Und wie lautet der Code im php Formular dafür zusätzlich ?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Mehrere DIV Container mit einem Klick ändern (mit mehreren Request Aufrufe	Lebenssonde	JavaScript, Ajax und mehr	11	26.08.2010 09:01
Passwort vergessen Funktion	Gravenstein	PHP Tipps 2009	17	18.08.2009 09:43
[Erledigt] PHP5: Request Parameter werden nicht korrekt ausgegeben	dmecir	PHP Tipps 2008	11	20.08.2008 17:37
bildanzeige bei falschem passwort	chrissie	PHP Tipps 2006	1	22.08.2006 15:37
Eingabefenster für Passwort	Nevermind	PHP Tipps 2007	10	18.12.2005 15:36
Passwort vergessen - Formular		PHP Tipps 2005-2	2	31.10.2005 10:40
mysql_connect verbindet nicht wenn user passwort hat		PHP Tipps 2005-2	3	28.10.2005 15:53
[Erledigt] MD5 Passwort hin und zurück		PHP Tipps 2005-2	22	25.10.2005 19:25
[Erledigt] Passwort und Nutzerverwaltung in Php und Mysql		PHP Tipps 2005-2	7	23.06.2005 17:46
3 Seiten durch Passwort schützen mit einmaliger PW-Eingabe?		PHP Tipps 2005	12	19.04.2005 22:41
Passwort geschützte Seite - PHP ohne MySQL		PHP Tipps 2004-2	3	29.12.2004 18:26
[Erledigt] Passwort vergessen-Script		PHP Tipps 2004-2	8	11.11.2004 18:56
Passwort übergeben	duerov	PHP Tipps 2004	5	27.09.2004 09:41
[Erledigt] Passwort verschlüsselung		Datenbanken	5	06.09.2004 10:31
benutzername + passwort pruefen		PHP Tipps 2004	4	07.07.2004 16:14

28.08.2009, 00:25
defcut Benutzer Registriert seit: 09.05.2009 Beiträge: 45 PHP-Kenntnisse: Anfänger	[Erledigt] Passwort verstecken... Request: mal gehts, mal nicht ich möchte Ajax nutzen um mein Passwort im Quelltext zu verstecken. Hierfür hab ich mir das Script gebastelt... nur wenn ich das alert() rausnehme, bekomme ich mein Passwort nicht in das gewünschte Feld, bzw garnicht. Muss ich irgendwo eine warteschleife einbauen? PHP-Code: function getpasswort(passid){ // Passwort holen xmlhttp=GetXmlHttpObject(); url="aktion.php?aktion=getpasswort&id=" + passid; xmlhttp.open("GET",url,true); xmlhttp.send(null); //Ende Ajax Zeugs xmlhttp.onreadystatechange=stateChanged(passid); } function stateChanged(passid){ // Passwort in input value schreiben alert("test"); if (xmlhttp.readyState==4) alert("test"); { document.getElementById(passid).value = xmlhttp.responseText; } }


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

28.08.2009, 09:03
HPR1974 Erfahrener Benutzer Registriert seit: 28.03.2008 Beiträge: 1.846	das is ja klasse, Du hast also ein Script mit dem man sich jedes Passwort liefern lassen kann

28.08.2009, 11:03
Arne Drews Erfahrener Benutzer Registriert seit: 22.04.2009 Beiträge: 3.341 PHP-Kenntnisse: Anfänger	PHP-Code: function getpasswort(passid){ // Passwort holen xmlhttp=GetXmlHttpObject(); url="aktion.php?aktion=getpasswort&id=" + passid; xmlhttp.open("GET",url,true); xmlhttp.send(null); //Ende Ajax Zeugs xmlhttp.onreadystatechange = function() { if(stateChanged(passid)) document.getElementById(passid).value=xmlhttp.responseText; } } function stateChanged(passid){ if (xmlhttp.readyState==4 && xmlhttp.status==200) return true; else return false; } Wobei ich das Ganze auch ziemlich Absurdum finde! Schliesse mich da HPR1974 ganz an...

28.08.2009, 11:09
Capfly Erfahrener Benutzer Registriert seit: 25.01.2009 Beiträge: 976 PHP-Kenntnisse: Fortgeschritten	Passwörter nie offen liegen lassen! Auch nicht in der Adressleiste! __________________ MfG ~Capfly Jetzt NEU! Cpix & Wbits Katahlan.de - Das Browsergame

28.08.2009, 13:11
ak5 Benutzer Registriert seit: 26.08.2009 Beiträge: 41 PHP-Kenntnisse: Fortgeschritten	Code: url="aktion.php?aktion=getpasswort&id=" + passid; xmlhttp.open("GET",url,true); Das ist doch wohl nicht ernst gemeint?

28.08.2009, 13:23
Arne Drews Erfahrener Benutzer Registriert seit: 22.04.2009 Beiträge: 3.341 PHP-Kenntnisse: Anfänger	Is doch egal, wenn er die sowieso in ein Input-Value schreiben will. Dann kann er das auch gleich per GET machen... Das nenn ich souverän...

28.08.2009, 13:56
ak5 Benutzer Registriert seit: 26.08.2009 Beiträge: 41 PHP-Kenntnisse: Fortgeschritten	Schon die Existenz eines Scriptes, welches durch Eingabe einer ID das PW rausrückt.. unfassbar! Ich stelle mir das mal so vor: Cookie enthält User-ID, wenn User kommt, wird das PW reingeschrieben. Na prost - sobald das die User mitkriegen ist dein Admin-Account und auch kein anderer mehr sicher.

17.02.2010, 22:52
Pete-Bremen Neuer Benutzer Registriert seit: 11.07.2009 Beiträge: 10 PHP-Kenntnisse: Anfänger	wie baue ich ne schlichte passwort erforderniss ein? Habe ein Formular, mit dem einige Daten als profil eingegeben werden können -funzt auch. Nun möchte ich dies jedoch gern so gestalten, das auch eine Anmeldung mit passwort (zwei mal zum reg. und später einmal zum einloggen) nötig wird - kann mir wer sagen, wie das geht - wie muß ich das pass Feld in mysql einstellen ? Und wie lautet der Code im php Formular dafür zusätzlich ?