Pain-maker

Hallo Forum!

Ich weiß, es gibt schon viele ähnliche Themen aber die Suche konnte nicht alle meine Fragen beantworten!
Ich möchte dazu gerne einfach mal ein paar Fragen in die Runde werfen:

Ist SHA1 wirklich sicherer als MD5?
In wie fern ist es sicherer für eine automatische Rückanmeldung zu realisieren indem man die Benutzer-Session in einem Cookie ablegt als wenn man das Passwort und den Benutzernamen speichert?

Ich hoffe ihr könnt mir helfen

LG Pain-maker

Mister Ad

stefanjann

Möchte ich mich nicht festlegen, da ich noch nicht mit SHA1 gearbeitet habe. Aber ich kenne noch niemanden der einen MD5 richtig zurückübersetzt hat. Und ein Passwort ist nur so gut wie der Besitzer der es eingibt (z.B. Name der Freundin, Geburtsdatum, etc). Die beste Verschlüsselung versagt wenn am als Passwrt z.B. "1234" eingibt...

Die Frage kannst du dir selbst beantworten:

Alle Daten im Cookie kann der User (teilweise über seinen Browser selbst) bearbeiten und auch faken wenn es sein muß. Die Daten werden im Normalfall als Klartext gespeichert und sind frei einsehbar. Also auch ein Benutzer der nur einmal an den Computer geht kann er diese Daten von seinem Vorgänger sehen.

Eine SessionID bringt weniger Infos als ein Benutzername und ein (verschlüsseltest) Passwort.

Daten die am Server verwaltet werden hat der Programmierer und nicht der User in der Hand.

Alle Variablen die in einem Script ankommen (COOKIES, GET, POST, etc) sind erst mal böse und müssen auf gutartigkeit geprüft werden. Sonst ist ein Mißbrauch nicht außzuschließen. Was lässt sich leichter prüfen? Eine SessionID, oder der Benutzername mit Passwort?

Gruß,
Stefan

__________________
SELECT * benutze ich nur um den Post kurz zu halten.

Pain-maker

Ja allerdings geht es mir da mehr um ein anderes Problem!
Die zugehörige SessionID muss ebenfalls auch in der DB gespeichert werden.
Schafft es nun ein Hacker eine SessionID auszulesen, kann er sich genauso einfach einen passenden Cookie machen wie wenn er sich ein Passwort ausliest, oder? (siehe der Fall als das druch ein Sicherheitsleck im wbb möglich war. Allerdings mit Passwort.)
Und ob sich nun der echte Benutzer anmeldet kann ich ja leider nicht prüfen.

stefanjann

Lösungsansatz:

1. Vergib die Passwört nach Zufall und nicht nach Dateum oder so.
Ein Zufall ist besser als ein MD5(date("dmY",time())), da man dann mit ausprobieren hinfinden kann.

2. Speichere zur SessionID die IP des Benutzers mit. Ändert sich die IP zur Session, ist die Session ungültig. Es dürfte für einen Hacker schwer sein, zur SessionID auch noch die passende IP herrauszufinden und diese gleichzeit mit an den Server zu übergeben, besonders wenn die IP nicht im Cookie steht, sondern in der Session-Datenbank bei programmierer.

Gruß,
Stefan

edit: ungünstige Text-Formulierungen geändert.

__________________
SELECT * benutze ich nur um den Post kurz zu halten.

Pain-maker

Zu 1.) Möchte ein Benutzer jetzt aber sein Passwort ändern ist wieder Sicherheitsinstbiltät für ihn da, oder lieg ich da falsch?

Zu 2.) Mit dieser methode ist aber eine Rückanmeldung nicht mehr möglich! Allerdings würde das klappen, wenn man den Host speichert, oder?

(Tut mir Leid wegen meiner vielen Fragen aber ich würde gerne versuchen ein wirklich sicheres Login-Script zu schreiben)

Pain-maker

Kann mir denn Keiner weiterhelfen?

schifti

Der User muss dann halt vorher einen link bestätigen, welche an seine Eingetrage E-Mailadresse gesendet wird.

Der Hostname, kann sich ja auch wie die IP immer wieder ändern.


Ich würde mir mal alle Möglichkeiten aufschreiben (aufmalen) und dazu Pro und Contra.

Dann kannst du bestimmt alle positiven eigentschaften kombinieren......

__________________
MFG Schifti
auch ein Forum (PHP)