Ankündigung

Einklappen
Keine Ankündigung bisher.

URL Parameter übergeben

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    URL Parameter übergeben

    Hi,
    nach absenden des formulares ist der an die URL angehängte Hash-Parameter weg und deshalb kennt er leider den username nicht mehr

    Was kann ich ändern?

    http://pastebin.com/cqvu3hZy
    Stichworte: -
  • #2
    Häng' ihn wieder an die Url an.
    Code:
    <form action="?hash=<?php echo $hash; ?>" method="post">
    Passwörter und andere sensible Daten sollten nicht (ob gehashed oder nicht) über die URL übertragen werden. Über Rainbow-Tables lassen sich die Entsprechungen herausfinden.
    [URL]http://hallophp.de[/URL]

    Kommentar

    • #3
      Lass das action-Attribut einfach weg, sollte so auch gehen.
      "[URL="http://www.youtube.com/watch?v=yMAa_t9k2VA&feature=youtu.be&t=25s"]Mein Name ist Lohse, ich kaufe hier ein.[/URL]"

      Kommentar

      • #4
        Zitat von Asipak Beitrag anzeigen
        Häng' ihn wieder an die Url an.
        Code:
        <form action="?hash=<?php echo $hash; ?>" method="post">
        Passwörter und andere sensible Daten sollten nicht (ob gehashed oder nicht) über die URL übertragen werden. Über Rainbow-Tables lassen sich die Entsprechungen herausfinden.
        Wenn der user sein Passwort vergess hat lässt er sich einen Link mit einem in eine db eingetragene Hash zu schicken. Wie kann ich das sonst lösen?

        Kommentar

        • #5
          Ein Passwort kann auch von mehreren Usern verwendet werden, wie willst dann noch differenzieren?

          http://www.php.de/adventskalender-20...vergessen.html
          [URL]http://hallophp.de[/URL]

          Kommentar

          • #6
            Zitat von Asipak Beitrag anzeigen
            Ein Passwort kann auch von mehreren Usern verwendet werden, wie willst dann noch differenzieren?

            http://www.php.de/adventskalender-20...vergessen.html

            Genau das im Link beschriebene Verfahren benutze ich ja.
            Ich verstehe nicht was du meinst, wo ist das Problem das mehrere user das gleiche Passwort verwenden? Sind ja alle einzelne angelegt.

            Kommentar

            • #7
              Ich verstehe nicht was du meinst, wo ist das Problem das mehrere user das gleiche Passwort verwenden? Sind ja alle einzelne angelegt.
              Wenn du den User allein anhand des Passwort-Hashes identifizieren willst, bekommst du unter Umständen kein eindeutiges Ergebnis, da mehrere User ein und dasselbe Passwort verwenden könnten.

              Genau das im Link beschriebene Verfahren benutze ich ja.
              Nein, du identifizierst den User anhand des Passworts, oder verstehe ich dich falsch?
              Zitat von Nikolaus 2.0
              Durch Eingabe seiner E-Mail-Adresse oder eines anderen Identifikationsmerkmals fordert der User ein neues Kennwort an. Daraufhin wird in der Datenbank eine zufällige Challenge-ID angelegt und in Form eines Links an dessen E-Mail-Adresse gesendet.
              Dieses Identifikationsmerkmal kann aber wie gesagt nicht das Passwort sein.
              [URL]http://hallophp.de[/URL]

              Kommentar

              • #8
                Zitat von Asipak Beitrag anzeigen
                Wenn du den User allein anhand des Passwort-Hashes identifizieren willst, bekommst du unter Umständen kein eindeutiges Ergebnis, da mehrere User ein und dasselbe Passwort verwenden könnten.
                Ich benutze ja nicht den hash des Passworts, sondern den md5 hash von request time, username & einer zufallszahl und überprüfe dann noch ob es zufälligerweise den gleichen hash schonmal gibt.
                Nein, du identifizierst den User anhand des Passworts, oder verstehe ich dich falsch?

                Dieses Identifikationsmerkmal kann aber wie gesagt nicht das Passwort sein.
                Wenn das identifikationsmerkmal das passwort wäre, wäre das doch ziemlicher blödsinn? da wird natürlich username/mail benutzt


                Aber nun meine Frage: gibt es eine noch sicherere Möglichkeit zum passwort wiederherstellen? Denn der link+hash kann ja auch geklaut werden...

                Kommentar

                • #9
                  Zitat von Zulakis Beitrag anzeigen
                  Aber nun meine Frage: gibt es eine noch sicherere Möglichkeit zum passwort wiederherstellen? Denn der link+hash kann ja auch geklaut werden...
                  Wiederherstellen ist doch garnicht nötig, denn dazu müsste die Anwendung das Passwort ja kennen, es kennt üblicherweise aber nur die Hashsumme.
                  "[URL="http://www.youtube.com/watch?v=yMAa_t9k2VA&feature=youtu.be&t=25s"]Mein Name ist Lohse, ich kaufe hier ein.[/URL]"

                  Kommentar

                  • #10
                    ich meinte natürlich um ein neues passwort zu setzen denn sobald der link abgegriffen wird ist es dahin mit sicherheit...

                    Kommentar

                    • #11
                      Nein, da sowohl Aktivierungslink (für die Passwort-vergessen-Funktionalität) als auch das neue Passwort an die Emailadresse gesendet werden. Natürlich darf diese nicht korrumpiert sein, aber von einer sicheren Emailadresse muss eine Webapplikation ausgehen, andere Möglichkeiten hast du nicht (es sei denn du möchtest SMS-Services einbauen o.ä., hast dort aber ähnliche Problematiken).

                      Bei den PW-vergessen-Funktionalitäten gehe ich so vor:
                      Formular mit Captcha und Eingabe einer ID des Benutzers (Username, Passwort, .. was eben eindeutig ist)
                      Email mit Aktivierungslink an Emailadresse (so dass das alte Passwort noch gültig bleibt, andernfalls kann man ja andere Benutzer aussperren)
                      Emaillink wird angeklickt
                      Passwort wird zurückgesetzt (neu generiertes Zufallspasswort) und an Emailadresse versendet
                      Alle bisherigen Aktivierungslinks, die nicht angeklickt wurden, verfallen
                      Passwort erreicht User, dieser kann sich mit dem neuen PW einloggen
                      Optional: Sperrscreen zur Änderung des aktuellen Passworts in ein neues
                      "[URL="http://www.youtube.com/watch?v=yMAa_t9k2VA&feature=youtu.be&t=25s"]Mein Name ist Lohse, ich kaufe hier ein.[/URL]"

                      Kommentar

                      Vorherige Weiter
                      Lädt...
                      X