PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : php und passwordabfrage



malburg
12-06-2001, 11:12
tach

mal noch ne frage.

ich habe 2 edit felder
user
passwd

jetzt will ich mit diesen beiden variablen auf eine mysql db zugreifen.

wenn ich die edit felder als form mache, dann schickt er mir das password unverschlüsselt über das netzt.

und dass will ich nicht. wie kann ich es noch anderes hinbekommen aber ohne htaccess ich möchte 2 edit felder haben.

thx m. alburg

Pingu
12-06-2001, 11:47
Hi,

das password geht immer unverschlüsselt übers netz. es sei denn du baust 'ne ssl verbindung auf. aber geh mal davon aus, daß du das nicht kannst (der ssl-server support kostet beim provider meist extra). übrigens auch bei der variante mit .htaccess geht das password unverschlüsselt übers netz.

es gibt nur die möglichkeit das ganze über javascript zu lösen (würd ich abraten), oder ein richtiges java-programm zu schreiben (würd ich als user auch ablehnen).

Gruß

                        -= Pingu =-

malburg
12-06-2001, 11:52
moment.

also wenn ich mich bei web.de einlogge, dann verschlüsselt er mein passwort und schickt es erst dann über das netz.

wenn ich es bei gmx.de mache da sehe ich mein passwort in reinstform.

also muss das ja schon irgendwie gehn.

trozdem danke.

Pingu
12-06-2001, 13:52
Hi,

dem muß ich leider widersprechen (was zumindest die Sicherung über .htaccess betrifft). Du brauchst einfach nur in das offizielle Dokument vom W3C zu sehen RFC2617 [ ftp://ftp.isi.edu/in-notes/rfc2617.txt ]

Dort steht auf Seite 5/6 wie der Username und das Password kodiert sind (kodiert nicht im Sinne von verschlüsselt). Dort steht, das die Base64-Kodierung dafür Anwendung findet:
<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>
challenge = "Basic" realm
credentials = "Basic" basic-credentials
basic-credentials = base64-user-pass
base64-user-pass = &lt;base64 [4] encoding of user-pass, except not limited to 76 char/line&gt;
user-pass = userid ":" password
userid = *&lt;TEXT excluding ":"&gt;
password = *TEXT
[/quote]
Ich hoffe Du verstehst diese Schreibweise (typisch für Spezifikation/Normen)

Weiter steht dann auf Seite 20:
<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Because Basic authentication involves the cleartext transmission of passwords it SHOULD NOT be used (without enhancements) to protect sensitive or valuable information. [/quote]

Übrigens es wird vom Apache z.Zt. NUR Basic-Authentification unterstützt. Ich glaube für die Digest gibt es noch keine richtige Implementierung, da man sich auf die Verschlüsselungsmethode noch nicht geeinigt hat.

Dem muß 2. auch widersprechen was das Login bei z.B. web.de (nicht SSL-Login) betrifft. Wenn man sich dort die Seite im Source anschaut steht dort im wesentlichen:


&lt;INPUT TYPE="PASSWORD" NAME="rv_passwd" SIZE="12"&gt;

Also es wird ein 'INPUT' vom Typ 'PASSWORD' verwendet. Jetzt gehe ich wieder auf die offizielle Seite vom W3C [ http://www.w3.org/TR/html401 ] (Diesmal natürlich zum HTML und nicht mehr HTTP). Klicke mich zur entsprechenden Beschreibung durch und finde [ http://www.w3.org/TR/html401/interact/forms.html#input-control-types ]:

17.4.1 Control types created with INPUT

The control type defined by the INPUT element depends on the value of the type attribute:

text
Creates a single-line text input control.
password
Like "text", but the input text is rendered in such a way as to hide the characters (e.g., a series of asterisks). This control
type is often used for sensitive input such as passwords. Note that the current value is the text entered by the user, not the
text rendered by the user agent.

Note. Application designers should note that this mechanism affords only light security protection. Although the
password is masked by user agents from casual observers, it is transmitted to the server in clear text, and may be read
by anyone with low-level access to the network.



Gruß

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-= Pingu =-

PS: man sollte immer die Original-Quellen kennen.

[ 12. Juni 2001: Beitrag editiert von: Pingu ]

malburg
12-06-2001, 14:00
mhh, na gut, dann macht das web.de eben anderes aber das passwort wird nicht im klartext weggeschickt.

wo wir bei javascript sind. :)

kennst du zufällig eine seite wo so ein nettes script steht wie man einträge verschlüsseln kann. (oder die buchstaben verdreht, oder die buchstaben multipliziert)am besten mit einem schlüssel???

z.b. passwort = test
schlüssel = 1

also alle buchstaben 1 höher

dann ist passwort = uftu

???

bitte ist wichtig, muss ja nur ne kleiner schutz sein.

Pingu
12-06-2001, 14:54
Hi,

also auf die Schnelle hab ich über [ http://www.scripts.com/search/fnsch.html?search=protect&slang=3 ] das gefunden: http://www.geocities.com/SiliconValley/7116/jv_pswr4.html
Notfalls mußt Du's abwandeln. Irgendwo hab ich auch mal 'ne echte Verschlüsselungsroutine gesehn, aber keine Ahnung mehr wo.

Gruß

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-= Pingu =-

PS: Bei beiden (web.de und gmx) findet keine Verschlüsselung statt, schau doch einfach in die Source. Auch hier sagt die offizielle Spec [ http://www.w3.org/TR/html401/appendix/notes.html#forms-security ] zu:
B.10.1 Security issues for forms
[snip]

This specification does not contain a mechanism for encryption of the data; this should be handled by whatever other mechanisms are in place for secure transmission of data.

Pingu
13-06-2001, 00:01
falsch. bei web.de verschlüsselt er es nur, wenn du dich über die ssl-verbindung einlogst, sonst nicht.

um das zu bekommen, brauchst du einen ssl-server.

anders gehts wirklich nicht. bei keiner der weltweiten websites.

gruß

-= pingu =-

malburg
13-06-2001, 00:49
pass auf, nimm mal das tool ngrep oder tcpdump und grep es mal nach dem htaccess passwd (z.b. test also ngrep | grep -A 1 "test")

lass es auf deinem server laufen und greifen auf deinem server über eine htaccess gesicherte seite zu. gib jetzt username und passwort ein, und du wirst sehen ... nichst siehst du, denn er sendet das passwd nicht in reiner form über das netz.


bei web.de das gleiche spiel nimm ein hub, verbinde deine rechener starte web.de und kucke ob er dein mail passwd rausbekommt. nein

also wenn ich mein password nicht sehen muss es ja verschlüsselt sein.

und web.de verschlüsselt das passwort.

woher ich das weiss:

es steht in der hilfe und ich habe damals und heute nochmal eine anfrage gestellt.

sie ssl-verbindung ist nur dazu da um deinen gesammten verkehr (zum. bsp. deine mails) vor anderen augen zu shcützen.

cu

HotSpott
25-10-2004, 03:37
Bin jetzt etwas verwirrt. Kann mir jemand evtl ohne, dass ich mich selbst durch die Specs quaelen muss sagen, ob nun bei nicht ssl verbindungen (gmx ohne ssl login bzw. htacces) das pwd wirklich als Klartext uebers netz geht?

Ich faende das schon sehr seltsam, dann waere es doch ein Kinderspiel wenn man Traffic an interessante Addressen wie Mailanbieter, Ebay etc abfaengt.... Sollte es wirklich so einfach sein.
(Ich denke jetzt nicht das das jeder Mausschubser hinbekommt... hoffe ihr versteht wie es gemeit ist.)

Pingu
25-10-2004, 07:19
Wenn Du nicht die offizielle Spec lesen willst, hättest Du wenigstens meinen Beitrag lesen können. Denn da stand schon die Antwort:

Auch hier sagt die offizielle Spec [ http://www.w3.org/TR/html401/appendix/notes.html#forms-security ] zu:
B.10.1 Security issues for forms
[snip]

This specification does not contain a mechanism for encryption of the data; this should be handled by whatever other mechanisms are in place for secure transmission of data.

EDIT: Solche snderen Mechanismen sind z.B. SSL.

HotSpott
25-10-2004, 13:38
Hab ich schon gelesen. Wollte ich aber wohl nicht glauben :(

Wenn man jetzt in einem Netz z.b. an der Uni geziehlt verkehr mit sniffed der an sagen wir mal gmx
ebay und co geht wuerde man dann doch ganz leicht pwds fuer diese Rausbekommen, wenn Klartext
uebermittelt wird, da sehr viel ohne ssl laeuft.

Will mich jetzt nicht auf schwer von Begriff stellen, aber dann waeren ja all die Passworteingaben die
reinste Farce...
Wuerde das nicht auch dem Beitrag von malburg wieder sprechen dass man mit ngrep oder tcpdump eben nicht das pwd mitlesen kann.

Hab deine Posts schon gelesen. Bin aber bzgl der Sicherheitslage so verunsichert, dass ich noch etwas Aufklaerung gebrauchen koennte. Einfach mitgrepen scheint ja zum Glueck nicht zu gehen. Die pwds werden
aber auch nicht verschluesselt uebertragen....??? Wo liegt jetzt die Wahrheit, was bringen dann solche Passwortabfragen?