Coder Forum

Hmm, sowas ist immer sehr nützlich. Habe mich letztens ein wenig mit PHP Hacking beschäftigt und mir ist aufgefallen, das meine momentanen Scripts total unsicher gegenüber Angriffe sind *döpdedöö*

"extrem sicher" würd ich das nicht nennen.
Das Passwort bekommt man immernoch durch Bruteforce auf Hash+Token oder "phishing", da die Daten vom Browser nicht authentifiziert werden können.
Den Rest der Verbindung liest man ja eh im Klartext.
Was sollte eine Firma gegen SSL haben?

Hi! Ich bin neu hier und versuch mich gerad in Ajax einzuarbeiten
Das mit dem Login gefällt mir sehr gut und ich hab da mal ein paar Fragen zu:

Wenn ich im Browser nen Reload mache oder auf eine andere Seite forwarde dann muss ich mich doch danach wieder neu anmelden weil die Sessiondaten über Javascript gehändelt werden?

Dann hab ich gelesen das man die Session-ID bei einem Login neu vergeben sollte wegen Session-Hijacking. Ist da was dran?

Wenn ich die Session-Id nun über Ajax ändern will hab ich erstmal schon ein Problem weil die Header schon gesetzt sind und ich zum ändern die ganze Seite neu aufbauen müsste :-/

Gruß Basti

Quoted from ""d0nUt""

bruteforce und wörtbuch-attacke gelten nicht als argumente da SSL dagegen auch nicht gewappnet ist..

Mich stört eben am meisten, dass jedes Kind den Hash in ne Rainbowtable schmeissen kann...Ein SSL Paket ist da schon eher ne Herausforderung

Quoted from ""d0nUt""

man-in-the-middle und phising - naja, was soll ein script dagegen tun???

Ich würde das Script dann aber nicht als "extrem sicher" bezeichnen, es ist keine Alternative zu SSL! Und "extrem sicher" suggeriert eben, dass man sich zurücklehnen kann und keine Angst haben braucht. Ich würde eher "besser als nix...aber nicht viel besser als nix" sagen. In Zeiten von Rainbowtables oder johnd sollte man es vermeiden gehashte Passwörter zu übertragen.
Im Worst Case wurde vom man-in-the-middle dem Benutzer ein Login ohne hash -Funktion vorgelegt. Für den Benutzer nicht zu bemerken solange er nicht jedesmal den Source anguckt und das Passwort geht im Kartext zum Angreifer. Authentifizierung vom Server/Client würde da Abhilfe schaffen.

Quoted from ""d0nUt""

BTW: Extreme Sicherheit gibt es nicht ;-)
Aber seit der Bildzeitung wissen wir, dass Schlagzeilen wie "Extreme Sicherheit" Klicks beschert

Niveau? :wink:

ok danke

Ich hab vor ne Userverwaltung mit Instant-Messaging zu erstellen nur so zum Ausprobieren von Ajax und als Basis für spätere Projekte.

cookies würde ich gerne aussen vor lassen

Ich kann also entweder die Komplette Anwendung auf einer geladenen Seite ablaufen lassen und vielleicht versuchen den Reload abzufangen. Wenn die Webanwendung aus mehreren Seiten besteht dann könnte ich das so versuchen:

1. Beim Klick auf den Login-Button holt Javascript über einen asynchronen http-request den gehashten seed der gleichzeitig in DB gespeichert wird.
Der Seed kann aus dem User-Agent+DateTime+RandomNumber generiert werden vlt so 50 Zeichen..
2. Javascript hasht Passwort mit dem Seed und sendet einen normalen Post-Request (ohne Ajax) an den Server.
3. auf dem Serverskript wird dann alles validiert und gegebenfalls ne neue Session für den User erstellt.

Der Seed ist dann nur die Sekunden-Millisekunden gültig und jedes mal unterschiedlich ich glaub kaum das Angriffe bei einer ordentlich großen Zeichenanzahl über Rainbowtable realistisch sind..

U.u. kann man ja noch überlegen über sha-1 zu codieren.
Ich werde mal nen bisschen rumprobieren..

Quoted from ""sebbonaut""

1. Beim Klick auf den Login-Button holt Javascript über einen asynchronen http-request den gehashten seed der gleichzeitig in DB gespeichert wird.
Der Seed kann aus dem User-Agent+DateTime+RandomNumber generiert werden vlt so 50 Zeichen..
2. Javascript hasht Passwort mit dem Seed und sendet einen normalen Post-Request (ohne Ajax) an den Server.

Also ich bekomm den gehashten seed, mein browser versucht nun den hash per bruteforce zu knacken um den seed im Klartext an das Passwort anzuhängen?
Mal im Ernst: Was will ich mit nem gehashten seed?

Vielleicht übersehe ich irgendwas...aber mir fällt kein Grund ein warum man den Seed als Hash übertragen sollte.

Falls jemand statt MD5 lieber SHA1 benutzen möchte:

http://pajhome.org.uk/crypt/md5/sha1src.html

Hier noch ein Link zu einem Wikipedia-Artikel, bei dem auch nochmal erklärt wird wie die Authentifizierung von statten geht: CHAP

Gruß

Casper

OK danke für die Tipps!
Das mit dem Seed stimmt macht keinen Sinn den zu hashen weil der sowieso elementar in Klartext übertragen wird.. Das Verfahren ist so für sich schon ziemlich gut und sicher für die einmalige Übertragung.
Hab mich jetzt erstmal durch ein paar Beiträge zum Thema AJAX und Sicherheit gelesen und das größte Problem ist der lesbare und komplett manipulierbare Code auf Clientseite :-/ Das ist wie eine riesige Spielbibliothek die zum Cheaten einlädt.. Ich werde Ajax bzw. Javascript dann doch lieber nur für wenige gezielte visuelle Effekte einsetzen..

Hier ein paar gute Links bezüglich Sicherheit:
http://www.securityfocus.com/infocus/1868
http://search400.techtarget.com/qna/0,28…1198365,00.html
http://www.it-observer.com/articles/1062/ajax_security/

Quoted

komplett manipulierbare Code auf Clientseite :-/ Das ist wie eine riesige Spielbibliothek die zum Cheaten einlädt..

Das ist aber jetzt nichts Ajax spezifisches.. Sondern betrifft generell Client seitige Scripte.

Zur Sicherheit kann ich nur sagen: Es gilt das selbe wie bei anderen Applikationen. Es gibt viele Sachen die man falsch machen kann.. vlt bei Ajax im Moment mehr, da es noch wenig "gute" Beispiele gibt wie man es richtig macht. Aber jetzt so pauschalisiert zu behaupten Ajax wäre unsicher, halte ich für groben Unfug.

Wenn das Server-Backend vernünftig programmiert ist (ich erinner an den schönen Satz: Don't trust any user input), dann habe ich da keine Sicherheitsbedenken.

Just my 2 cents

Hallo,

mich würde an dieser Stelle interessieren, wie das mit einem "dauerhaften Login" über Sessions laufen würde.

Über das PHP-Skript kloppe ich Name und md5-Passwort in die session und nu? brauch ich ne neue js-Funktion z.b. checkuser() die bei onload die session-vars abklopft und den loginhandler aufruft? hmhm..

schwierig schwierig. kann mir jemand nen tipp geben?

Hallo erstmal!

Sorry das ich diesen alten Beitrag rauskramen muss.

Ich hab noch nicht so viel mit Ajax gemacht, darum dachte ich fragen kostet nichts:

Und zwar funktioniert diese Anmeldevariante bei mir Perfekt - allerdings nur im Firefox.
Im Internet Explorer verhält sich anderst - ist etwas bekannt das dieses Tutorial nicht
mit dem IE 7 harmoniert?

Grüße,

lukas

Hey - funktioniert perfekt im IE.

Vielen Dank für die schnelle Antwort :-)

Lukas

Wo wir gerade beim Thema Ajax + Sicherheit sind: Ajax Secure Service Layer