4. Sind meine Sessions sicher genug?

Sind meine Sessions sicher genug?

  • S
    Mod

    ºgrimmsenº® schrieb:

    Die Logindaten kannst du aber auch ohne https absichern. Was du brauchst ist ein kleines JavaScript, dass md5-Verschlüsselung realisiert. Beim Login schickst du ein zufällig gewähltes Wort mit. Dieses setzt du vor oder hinter das Passwort und generierst mit dem JavaScript den Digest. Dieses verschlüsselte Passwort wird an den Server gesendet. Dieser macht genau das gleiche und vergleicht die Schlüssel einfach. Das ist nahezu nicht knackbar, da der Schlüssel jedes mal anders ist, und md5 nur mit Bruteforce zu entschlüsseln ist.

    Und was bringt das? Dann sind die Login Daten vielleicht halbwegs sicher, aber die Session kann ich immernoch ohne Probleme uebernehmen.

    Mal abgesehen davon, dass der User JS aktiviert haben muss.

    btw: woher weiss der Server denn, welches Wort zum verschluesseln verwendet wurde?

    0
  • A

    Außerdem muss das Zertifikat nicht zwingend signiert werden, soviel ich weiß. Der Benutzer bekommt dann hald eine Meldung, dass es nicht signiert ist.

    0
  • *

    @shade:
    kann man an die IP binden!

    @aj:
    dann musst du es selber signieren. Aber die Zertifikatsmafia hat genug Mechanismen gefunden um das für DAUs höchst gefährlich aussehen zu lassen.

    0
  • A

    AJ schrieb:

    Außerdem muss das Zertifikat nicht zwingend signiert werden, soviel ich weiß. Der Benutzer bekommt dann hald eine Meldung, dass es nicht signiert ist.

    eben! und solange das z.b. unternehmens intern genutzt wird, ist das doch auch voll ausreichend.

    hinzu kommt, dass confixx diese keys generieren kann, sodass man praktisch nichts zu tun muss.

    allerdings habe ich da ein problem mit.
    vielleicht kann mir hier jemand helfen. also, ich habe da nachgelesen und erfahren, dass man bei confixx dem user, der ssl nutzen soll, eine eigene ip vergeben muss. ist das richtig? oder kann man da irgendwie ein workaround machen? ich frage, weil mir einen vserver mit mehreren anderen personen teile, d.h. es gibt mehrere domains an einer ip adresse.

    ich blicke nach meiner ganzen informationssuche etwas enttäuscht. aber das kommt bei der technik ja leider zu oft vor!

    parallel dazu überlege ich mir auch non-ssl lösungen:

    wenn ich das passwort wirklich über javascript verschlüssele und dann an den login script übertrage. dort eine verifizierung stattfindet und dann entsprechend eine session starte.

    oder wenn ich in dem script, welches die user erstellt, etwa folgendes mache:

    # get url 
$url = $DOCUMENT_ROOT . dirname($PHP_SELF) . "/.htpasswd"; 
# make .htaccess and .htpasswd 
$htaccess_txt = "AuthType Basic" . "\n"; 
$htaccess_txt .= "AuthName \"".$areaname."\"" . "\n"; 
$htaccess_txt .= "AuthUserFile $url" . "\n"; 
$htaccess_txt .= "require valid-user" . "\n"; 
$htpasswd_txt .= "$user:".crypt($passwort,CRYPT_STD_DES)."\n"; 
# save files 
$htaccess= fopen(".htaccess", "w"); 
$htpasswd= fopen(".htpasswd", "w"); 
fputs($htaccess, $htaccess_txt); 
fputs($htpasswd, $htpasswd_txt); 
fclose($htaccess); 
fclose($htpasswd);

    aber natürlich alles in eine datei und mit verschiedenen usern.
    dann müsste ich aber irgendwie eine session erzeugen. denn die applikation soll benutzer management bieten.

    0
  • A

    also die applikation soll nur für eine bestimmte benutzergruppe verfügbar sein. d.h. auch, dass man dieser grupper etwa vorschreiben kann, was clientseitig installiert sein muss. z.b. der flash 7 player und js muss aktiviert sein...

    ºgrimmsenº® schrieb:

    @shade:
    kann man an die IP binden!

    @aj:
    dann musst du es selber signieren. Aber die Zertifikatsmafia hat genug Mechanismen gefunden um das für DAUs höchst gefährlich aussehen zu lassen.

    s.o.
    also, das kästchen mit "diese meldung nicht mehr anzeigen" wird angeklickt.

    Shade Of Mine schrieb:

    ºgrimmsenº® schrieb:

    Die Logindaten kannst du aber auch ohne https absichern. Was du brauchst ist ein kleines JavaScript, dass md5-Verschlüsselung realisiert. Beim Login schickst du ein zufällig gewähltes Wort mit. Dieses setzt du vor oder hinter das Passwort und generierst mit dem JavaScript den Digest. Dieses verschlüsselte Passwort wird an den Server gesendet. Dieser macht genau das gleiche und vergleicht die Schlüssel einfach. Das ist nahezu nicht knackbar, da der Schlüssel jedes mal anders ist, und md5 nur mit Bruteforce zu entschlüsseln ist.

    Und was bringt das? Dann sind die Login Daten vielleicht halbwegs sicher, aber die Session kann ich immernoch ohne Probleme uebernehmen.

    stimmt. hab jetzt im letzten post nicht darauf geachtet.
    hast etwas mehr weitblick.
    was nützt eine sichere anmeldung, wenn man die session jederzeit hijacken kann.

    also muss ich mich weiter um ssl bemühen.

    @Shade Of Mine:
    schon mal websites auf ssl sicheren servern abgeladen?
    gibt es da etwas zu beachten? ich meine nur die einrichtung der website, nicht die server konfiguration.
    im grunde ist es doch dann auch nur ein anderes (modifiziertes) protokoll, welches die daten eben verschlüsselt überträgt.
    d.h. der benutzer hat mit dem ssl nichts zu tun, sein browser handelt die verbindung aus und dann kann man sich benutzerspezifisch anmelden und sessions registrieren, diese daten sollten dann nicht mehr abgefangen werden können.

    0
  • S
    Mod

    alex-t schrieb:

    schon mal websites auf ssl sicheren servern abgeladen?
    gibt es da etwas zu beachten? ich meine nur die einrichtung der website, nicht die server konfiguration.

    Ne, du merkst den Unterschied nicht - da die ganze Arbeit der Server bei der Datenuebertragung macht.

    im grunde ist es doch dann auch nur ein anderes (modifiziertes) protokoll, welches die daten eben verschlüsselt überträgt.
    d.h. der benutzer hat mit dem ssl nichts zu tun, sein browser handelt die verbindung aus und dann kann man sich benutzerspezifisch anmelden und sessions registrieren, diese daten sollten dann nicht mehr abgefangen werden können.

    Exakt.

    0
  • A

    schön!

    und wie komme ich jetzt an ssl dran? 😞
    mit mehreren domains an einer ip adresse auf dem vserver.

    ich mache pause leute. freundin bei der arbeit besuchen und zur post fahren 😉

    bin in einer stunde wieder da. hoffe mein provider hat sich bis dahin gemeldet.

    0
  • A

    wird da vllt mal jemand wach, der mir bei ssl helfen kann? mein provider schlummert bereits.

    0
  • F

    http://www.webspace-forum.de/service/faq_d.php?link=410

    Demnach brauchst du auf jeden Fall eine eigene IP 🙄

    0
  • A

    flenders schrieb:

    http://www.webspace-forum.de/service/faq_d.php?link=410

    Demnach brauchst du auf jeden Fall eine eigene IP 🙄

    ich glaube es gibt bestimmt noch eine lösung.

    schaut euch bitte http://server.1und1.com/root_server/howto/6.html
    mal an.

    es siet sehr kompliziert aus. bin schon fleissig am überlegen. hoffe ich verstehe diese konfig bald mal.

    wenn man da nocht etwas abändert... vielleicht klappt es dann ja.

    es ist ja nicht ein mal nötig, dass domains vom ssl support ausgeschlossen werden, falls das erschwerend ist.

    es geht ja auch nicht darum die kundschaft zu beeindrucken, sondern darum sicherheit für die aplikation zu leisten.

    0
Anmelden zum Antworten