[Floele]

Ich weiß ja nicht was genau dein Skript bezwecken soll, aber warum nimmst du nicht md5 oder ähnliches? Garantiert nicht entschlüsselbar
Übrigens, wenn du noch nichteinmal von SQL Injektionen etwas gehört hast, dann bezweifle ich dass dein Skript besonders sicher ist.

[björn]

Angenommen dein Sicherheitssystem soll in einem Firmen-Netzwerk zum Einsatz kommen, dann ist es für einen potentiellen Angreifer von innen relativ leicht die IP seines Opfers zu bekommen... zumindest leichter als im Inet... ich persönlich würde nicht die IP als ausschlaggebendes Kriterium nehmen, lass dir lieber ein Hash generieren und arbeite mit Sessions oder so

Gruß

[normanbauer]

Wie schon gesagt wurde, jeder Nutzer erhält bei jeder Einwahl ins Netz eine neue IP Adresse. Ausgenommen seien die Fälle, bei denen feste IPs vergeben wurden. Bis auf Firmen und wenige Privatleute kommt das aber im Vergleich seltener vor. Die Frage ist also nicht, wie wahrscheinlich es ist, dass der Hacker die IP des Opfers bekommt, sondern wie wahrscheinlich ist es, dass der User immer die gleiche IP hat. Ansonsten gibts noch solche Sachen wie IP Spoofing oder Änderung der eigenen IP via Proxy (HideIP macht das beispielsweise).
Achso: Keine Verschlüsselung ist 100%ig sicher!

[Yalamand]

Zitat (normanbauer: 28.06.2005, 09:40)

Wie schon gesagt wurde, jeder Nutzer erhält bei jeder Einwahl ins Netz eine neue IP Adresse. Ausgenommen seien die Fälle, bei denen feste IPs vergeben wurden.
<{POST_SNAPBACK}>

bedingt richtig. AOL z.B. leitet sehr viele Kunden über eine begrenzte Anzahl von statischen Proxies, wodurch tausende Besucher auf einer populären Seite von der selben IP einfach einige tausend Besucher von AOL waren.

[Yalamand]

Zitat (hasch: 27.06.2005, 20:46)

Dies wäre die einzige Sicherheitslücke bei mir, denn eine Identifikation in Verbindung mit den verschlüsselten Werten und der IP gibt den Zugang zum System, d.h. wenn ein Hacker den verschlüsselten Namen und Passwort an die URL hängt bekommt er keinen Zugang....
<{POST_SNAPBACK}>

Das ist tödlich. Eine Webanfrage kann cached werden, auf einem Proxy landen und läuft meist über mehrere Routes bis zum Ziel. Jeder "Router" bis zu einer Wunschseite kann das Passwort dann im Klartext sehen. In den Logfiles (wenn vorhanden) wird es auch gespeichert. Wichtige Daten wenn dann nur mit POST übertragen, damit sie nicht in den Logfiles erscheinen

[hasch]

Zitat (Yalamand: 28.06.2005, 10:25)

Das ist tödlich. Eine Webanfrage kann cached werden, auf einem Proxy landen und läuft meist über mehrere Routes bis zum Ziel. Jeder "Router" bis zu einer Wunschseite kann das Passwort dann im Klartext sehen. In den Logfiles (wenn vorhanden) wird es auch gespeichert. Wichtige Daten wenn dann nur mit POST übertragen, damit sie nicht in den Logfiles erscheinen
<{POST_SNAPBACK}>

Wenn das Passwort doch aber Einwegverschlüsselt ist, d.h. durch mehrere Variablen den gleichen Wert haben!?

@Floele
Seit wann ist MD5() nicht entschlüsselbar, also es gibt doch nun schon viele Softwares, die MD5() wieder entschlüsseln können!

"Übrigens, wenn du noch nichteinmal von SQL Injektionen etwas gehört hast, dann bezweifle ich dass dein Skript besonders sicher ist."

Von der mathematischen Seite ist es sicher sicher (doppelt hält besser), denn wie willst du ein Passwort knacken, dass z.B. für A und C und D und Z den Wert 1234 hat? (es würde dann zu viele Möglichkeiten geben. Und nach 10x falschem Eingeben/Anhängen der Daten wird der Account gesperrt.)
Der Sinn des Scripts ist es ja nicht, dass Cookies abgelöst werden, sondern Sessions erweitert, d.h. auch nach Schließens der Browserfensters der User noch eingeloggt bleiben kann, eben erst nach beenden der Internetverbindung, bzw. wechseln der IP ausgeloggt wird.

[Floele]

Zitat (hasch: 28.06.2005, 14:44)

@Floele
Seit wann ist MD5() nicht entschlüsselbar, also es gibt doch nun schon viele Softwares, die MD5() wieder entschlüsseln können!

Nenn mir eine.

Zitat

Von der mathematischen Seite ist es sicher sicher (doppelt hält besser), denn wie willst du ein Passwort knacken, dass z.B. für A und C und D und Z den Wert 1234 hat? (es würde dann zu viele Möglichkeiten geben. Und nach 10x falschem Eingeben/Anhängen der Daten wird der Account gesperrt.)
Der Sinn des Scripts ist es ja nicht, dass Cookies abgelöst werden, sondern Sessions erweitert, d.h. auch nach Schließens der Browserfensters der User noch eingeloggt bleiben kann, eben erst nach beenden der Internetverbindung, bzw. wechseln der IP ausgeloggt wird.
<{POST_SNAPBACK}>

Es geht mir nicht um den Verschlüsselungskram. Man kann in seinem Skript überall Sicherheitslücken einbauen.

[Yalamand]

Zitat (hasch: 28.06.2005, 14:44)

Seit wann ist MD5() nicht entschlüsselbar, also es gibt doch nun schon viele Softwares, die MD5() wieder entschlüsseln können!
<{POST_SNAPBACK}>

Nicht verwechseln das MD5 keine Verschlüsselung ist. MD5 ist eine Funktion zum generieren von Hashes. D.h. es gibt keine entschlüsselte Version an sich sondern lediglich Kollisionen, als wenn abc und cde den selben MD5 Hash hätten. Dies wiederum führt dazu das es zu einem Hash durchaus mehrere Antworten gäbe. Was der einzige Aspekt von Unsicherheit ist. Das bisher bessere SHA-1 ist noch um einige Ecken härter... eine Simple kodierung kann da leider nicht mithalten

@floele: es gibt etliche Seiten die sich mit Kollisionen und soetwas auseinander setzen und behilfsmäßige Suchmaschinen für soetwas anbieten, z.B. http://prefect.ch/md5crack.php Ist aber nur behilfsmäßig und recht schlecht. Wie genau das funktioniert findest du hier: http://passcracking.com/

[Yalamand]

Zitat (hasch: 28.06.2005, 14:44)

Der Sinn des Scripts ist es ja nicht, dass Cookies abgelöst werden, sondern Sessions erweitert, d.h. auch nach Schließens der Browserfensters der User noch eingeloggt bleiben kann, eben erst nach beenden der Internetverbindung, bzw. wechseln der IP ausgeloggt wird.
<{POST_SNAPBACK}>

Mal eine ganz andere Frage:

Wenn ich also ein PHP-Script schreibe das 500 Proxies verwendet und Du die Benutzer nach so und so viel falscheingaben sperrst... wäre es nicht auch eine Sicherheitslücke das ich dir alle bekannten (oder sogar unbekannten) Benutzer sperren kann? Ganz einfach dadurch das ich jeweils 10 Versuche auf 500 Benutzer mache, alle Anfragen von einer anderen IP? Viel Spass beim entsperren würde ich sagen?

[hasch]

Wenn das Script so viele Sicherheitslücken aufweist, dann nenn mir doch mal eine, damit ich sie schließen kann, außer die Sache mit dem Firmennetzwerk, dass dort jemand die IP herausbekommen kann!?
wäre denn die Zuweisung von a, b, c den Wert bsw. 5 schlecht für die verschlüsselung? (d.h. ist es ein fehler mehreren Variablen einen Wert zuzuweisen?)

@Yalamand
Nein, diese Sicherheitslücke wird nicht auftreten, jedenfalls erschwert, denn:
(1) nach 3 Fehlversuchen wird die IP gesperrt, eine Sperrung eines Users wäre also nur möglich, wenn man sich 4 mal unter einer anderen IP anmeldet oder sogenannte Anonyme Proxy Server verwendet.
Man könnte ja die Fehlversuche auch auf 100 hochsetzen. Aber ich glaube auch, dass es einigen ein riesen Spaß wäre den Admin zu sperren
Oder man würde einfach nur nach 3 Fehlversuchen die IP sperren und nur für diesen Account.

[Floele]

Zitat

@floele: es gibt etliche Seiten die sich mit Kollisionen und soetwas auseinander setzen und behilfsmäßige Suchmaschinen für soetwas anbieten, z.B. http://prefect.ch/md5crack.php Ist aber nur behilfsmäßig und recht schlecht. Wie genau das funktioniert findest du hier: http://passcracking.com/

Das habe ich auch nicht bezweifelt (ist schon ein bisschen was anderes als "entschlüsseln")

[Slayer]

Mich würde es auch mal interessieren, mit welcher Software man einen MD5-Hash wieder "entschlüsseln" kann?!

[Floele]

Wie schon gesagt wurde, richtig entschlüssen geht nicht. Für die anderen Methoden stehen Links ja schon da.