WinFuture-Forum.de: Sicherheitsproblem - Php - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Entwicklung
  • 2 Seiten +
  • 1
  • 2

Sicherheitsproblem - Php


#1 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 27. Juni 2005 - 19:46

Hallo,
habe ein kleines Sicherheitssystem geschaffen, indem der Username und Passwort nach bestimmten Methoden verschlüsselt werden, diese können 100%ig nicht mehr entschlüsselt werden, außer mit Logik von Menschenhand, d.h. es weist mind. einem Wert zwei Buchstaben zu.
Zu meiner Frage:
Wie groß ist die Wahrscheinlichkeit, dass ein Hacker nach neuem Einwählen die gleiche IP wie die seines Opfers bekommt?
Dies wäre die einzige Sicherheitslücke bei mir, denn eine Identifikation in Verbindung mit den verschlüsselten Werten und der IP gibt den Zugang zum System, d.h. wenn ein Hacker den verschlüsselten Namen und Passwort an die URL hängt bekommt er keinen Zugang, da seine IP anders ist, wenn aber er die gleiche IP hat, wie sein bisheriges Opfer, dann bekommt er Zugang.
Würde es dafür eine Möglichkeit zur Schließung geben?
0

Anzeige



#2 _Benjamin_

  • Gruppe: Gäste

geschrieben 27. Juni 2005 - 19:55

3,1962657931507848761677563491821e+38
wenn ich mich nicht verrechnet habe ;) (hab ich aber sicherlich)

hmmm nun gut du hast schon teile verraten und damit ist es schon wieder nicht sicher ... ein "hacker" muss nun die gleiche IP haben wie der User den er hacken will ... was relativ zufalls gelegen ist würd ich ma sagen ...

naja, überdenk das system lieber nochmal weil ne lösung via IP würde ich dennoch nicht in betracht ziehen
0

#3 Mitglied ist offline   Floele 

  • Gruppe: aktive Mitglieder
  • Beiträge: 919
  • Beigetreten: 22. Juni 04
  • Reputation: 0

geschrieben 27. Juni 2005 - 20:09

Zitat (hasch: 27.06.2005, 20:46)

Dies wäre die einzige Sicherheitslücke bei mir,


Von der du weißt...

Zitat (Benjamin: 27.06.2005, 20:55)

3,1962657931507848761677563491821e+38
wenn ich mich nicht verrechnet habe :D (hab ich aber sicherlich)


Ich bin zwar kein Experte in Sachen IPs, aber ich käme auf 1:4228250625 (nicht von IPv6 ausgehend).
Für IPv6 zitiere ich mal Wikipedia:

Zitat

Eine IPv6-Adresse ist 128 Bit lang (IPv4: 32 Bit). Damit gibt es etwa 3,4 × 10^38 IPv6-Adressen. Das bedeutet, für jeden Quadratmillimeter (!) Erdoberfläche könnten ca. 665,570793 Billiarden Adressen (6,65570793 × 1017) bereitgestellt werden.

0

#4 _Benjamin_

  • Gruppe: Gäste

geschrieben 27. Juni 2005 - 20:12

naja gut ich hab grob überschlagen, kommt aber fasst hin XD
0

#5 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 27. Juni 2005 - 20:18

Ich denke nur öffentliche Sicherheitsprobleme können behoben werden,d a viele Augen mehr als 2 sehen ;)
Naja ich habe aber nicht alles verraten, selbst wenn der Hacker sogar mein mathematischen Methoden weiß, könnte er es nicht entschlüsseln, weil es auch noch Variablen gibt, die individuell mit einer Zahlenfolge versehen werden, d.h. es bräuchte diese auch noch, bei regelmäßigem wechseln der Folge ist es fast unmöglich diese zu knacken.
Aber die Realität beweist ja, nicht ist unmöglich - Toyota :D
Wie soll ich den User sonst identifizieren, wenn nicht über IP?
0

#6 Mitglied ist offline   Meatwad 

  • Gruppe: aktive Mitglieder
  • Beiträge: 784
  • Beigetreten: 07. August 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Bad Vilbel
  • Interessen:Computer, Inliner, Chatten...

geschrieben 27. Juni 2005 - 20:20

ja, ganz grob!

also es ist fast unmöglich! weil er müsste ja dann auch den gleichen ISP hamm, wie das opfer! also das dürfte kein problem sein!
I am away to look for my self. If I am back before I return keep me here. | Mein Server
0

#7 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 27. Juni 2005 - 20:27

OK, danke.
Habe gerade erfahren, dass AOL User häufig eine andere IP während des Surfens bekommen, entspricht dies der Wahrheit, weil dann währe meine Lösung ja für die Tonne!?
0

#8 Mitglied ist offline   Meatwad 

  • Gruppe: aktive Mitglieder
  • Beiträge: 784
  • Beigetreten: 07. August 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Bad Vilbel
  • Interessen:Computer, Inliner, Chatten...

geschrieben 27. Juni 2005 - 20:31

nur, wenn sie sich neu anmelden am ISP! aber prüf das doch einfach mal selber! hier kannst du deinen host und deine IP sehen!
I am away to look for my self. If I am back before I return keep me here. | Mein Server
0

#9 Mitglied ist offline   tavoc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.446
  • Beigetreten: 22. Juli 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 27. Juni 2005 - 20:52

Normalerweise bekommt man bei jeder einwahl eine andere ip, ausser man hat eine feste ip, das kostet aber manchmal(meistens) extra.

Wenn du eine einzigartige nummer haben möchtest könntest du ja den pc namen oder eine nummer aus den komponenten des pcs zusammemstellen(so wie win, z.b. mainboard +cpu).
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
0

#10 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 27. Juni 2005 - 21:05

Irgendwie verstehe ich euch nicht mehr, es geht doch nicht um meine IP, sondern die der User, bzw. der AOL User.
Aber ich glaube, das ganze wird ziemlich sicher sein, weil ein einloggen nach 10 Fehlversuchen unmöglich ist, dann wird der Account gesperrt.
D.h. sollte der Hacker die gleiche IP des Opfers haben und versuchen irgendwelche verschlüsselten Codes an die URL zu hängen, wird der Account gesperrt, der zuletzt diese IP hatte nach 10 Fehlversuchen, d.h. es ist nur möglich auf den Account des Opfers zuzugreifen, wenn die gleiche IP und alle Zugangsdaten verfügbar sind.

Was meint ihr?
0

#11 Mitglied ist offline   pek 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 24. Juni 05
  • Reputation: 0

geschrieben 27. Juni 2005 - 21:13

OT Anmerkung: Die höchstmögliche Sicherheit des 'PHP-Scripts' bringt allein rein gar nix wenn der Rest drumherum für die Katz ist. :D
0

#12 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 27. Juni 2005 - 21:15

Zitat (pek: 27.06.2005, 22:13)

OT Anmerkung: Die höchstmögliche Sicherheit des 'PHP-Scripts' bringt allein rein gar nix wenn der Rest drumherum für die Katz ist. :D
<{POST_SNAPBACK}>

Also empfehlt ihr mir Cookies + bestmögliche Verschlüsselung?
0

#13 Mitglied ist offline   pek 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 24. Juni 05
  • Reputation: 0

geschrieben 27. Juni 2005 - 21:25

Zitat (hasch: 27.06.2005, 23:15)

Also empfehlt ihr mir Cookies + bestmögliche Verschlüsselung?<{POST_SNAPBACK}>
Jein, du fixierst dich grade mit deiner 'übermathematischen' Kyptographie/Verschlüsslung nur auf dein Script! Was ich damit sagen will wenn jemand es wirklich auf das Zeug abgesehen hat was dahinter steckt, sucht er sich nicht denn Weg druch 'nen lächerliches Script, sonder macht die komplette Box von hinten auf.

Deine Methode an sich ist aber in Ordnung, vielleicht solltest du noch ein blick auf SQL Injections werfen damit dein Script dahingehend sicher ist. :D
0

#14 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 27. Juni 2005 - 21:32

Zitat (pek: 27.06.2005, 22:25)

Jein, du fixierst dich grade mit deiner 'übermathematischen' Kyptographie/Verschlüsslung nur auf dein Script! Was ich damit sagen will wenn jemand es wirklich auf das Zeug abgesehen hat was dahinter steckt, sucht er sich nicht denn Weg druch 'nen lächerliches Script, sonder macht die komplette Box von hinten auf.

Deine Methode an sich ist aber in Ordnung, vielleicht solltest du noch ein blick auf SQL Injections werfen damit dein Script dahingehend sicher ist. :D
<{POST_SNAPBACK}>

Kannst du mir mal kurz SQL Injections erläutern?
Meinst du, er wird versuchen die DB zu knacken?

Ich danke euch jetzt schonmal für eure netten und hilfreichen Beiträge. ;)
Ich muss jetzt in die Heiha, weil ich morgen wieder Schule habe. Kann also erst morgen auf eure evt. Beiträge eingehen. Danke.

Dieser Beitrag wurde von hasch bearbeitet: 27. Juni 2005 - 21:34

0

#15 Mitglied ist offline   pek 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 24. Juni 05
  • Reputation: 0

geschrieben 27. Juni 2005 - 21:34

http://de.wikipedia....i/SQL_Injection und bei Google findest du dazu noch mehr.. :D
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0