[Skaroth]

Hi,

ich bastle zur Zeit an einem Loginscript in PHP. Es soll erstmals nur eine Art Adminbereich werden. Da bin ich auf die Idee gekommen ein Crash Script mittels Java Script einzubauen, welches bei drei fehlgeschlagenen Loginversuchen aktiv wird.

Das Crash Script ruft mittels setInterval eine Funktion auf, die ein alert Fenster beinhaltet. Diese Funktion ruft sich widerrum mittels setInterval selbst auf. Fazit: Unmengen von Intervallen --> Browser stürzt ab.

Auch wenn es für manch einen Unsinn ist, ist so ein Cash Script erlaubt? Immerhin richtet es nicht wirklich Schaden an, da sich nur der Browser aufhängt.

[Graumagier]

Nimm davon ja Abstand. Als wenn du bei einem ordentlich gewählten Passwort Angst vor BruteForce haben müsstest (gut, eigentlich nur davor, aber egal). Es reicht doch schon ein Redirect nach drei Fehlversuchen einzubauen.

[Rika]

Zitat

Auch wenn es für manch einen Unsinn ist,

Ist es. Seit wann bruteforcet man mit einem dazu noch JavaScript-fähigen Webbrowser?

Zitat

ist so ein Cash Script erlaubt?

IANAL, aber ich kenne einschlägigen Paragraphen, der dich dafür verantwortlich machen könnte, wenn ein Client beim Aufruf deines Contents abschmiert.

Zitat

Immerhin richtet es nicht wirklich Schaden an, da sich nur der Browser aufhängt.

Wie gut, daß ich window.alert in der Policy deaktiviert habe. In FF 1.5 ist das dann auch standardmäßig so, daß man trotz alert()-Fensterchen weiterhin Zugriffs auf's gesammte GUI hat und somit die Seite einfach schließt.

Und sag mal, fändest du einen Crash des gesamte Windows-Unterbaus nicht viel lustiger?

[Graumagier]

Rika sagte:

Und sag mal, fändest du einen Crash des gesamte Windows-Unterbaus nicht viel lustiger?

Das ist bei dem beschriebenen Vorgehen sowieso der Fall, wenn die Seite mit dem IE aufgerufen wird

[hasch]

Zitat (sYnTaX: 24.10.2005, 20:10)

Auch wenn es für manch einen Unsinn ist, ist so ein Cash Script erlaubt? Immerhin richtet es nicht wirklich Schaden an, da sich nur der Browser aufhängt.

Dies ist aber sehr Kundenunfreundlich. Nutze doch lieber eine Zeitverzögerung von PHP.

[Rika]

Zitat

Das ist bei dem beschriebenen Vorgehen sowieso der Fall, wenn die Seite mit dem IE aufgerufen wird.

Seit wann denn das? Normalerweise stirbt der iexplore-Prozess immer für sich alleine, oder, wenn via Explorer aufgerufen, halt der Explorer-Prozess und damit nur das Desktop-GUI.

Nein, nein, tödliche Crashes kriegt man nur via übergroßen Speicherallokierungen hin. Ob nun im Grafiktreiber (img width=99999999 height=99999999) oder im Browser-Prozess selbst (img src=a.bmp, a.bmp: [Bitmap Header][Length of header][width: 1111111, height: 111, depth:24][pixel content (truncated)]), wobei letzteres einfach zu nahezu unendlichem Swapping führt und wegen der schwachen Trennung zwischen Shell-Komponenten und IE auch nicht abgebrochen werden kann.

[Floele]

Zitat (hasch: 24.10.2005, 20:42)

Dies ist aber sehr Kundenunfreundlich. Nutze doch lieber eine Zeitverzögerung von PHP.

Ich würde Leute, die versuchen per Brute-Force in meinen Admin-Bereich zu gelangen, nicht als Kunden bezeichnen

[Graumagier]

Rika sagte:

Seit wann denn das?

Bei den schwächeren Systemen bei uns an der Schule resultiert besagtes Beispiel in einem System-Freeze. Da stirbt gar nichts mehr

[burning-joe]

Zitat (Graumagier: 24.10.2005, 21:04)

Bei den schwächeren Systemen bei uns an der Schule resultiert besagtes Beispiel in einem System-Freeze. Da stirbt gar nichts mehr

Außer vielleicht der User, der grade davor sitzt und drau wartet, dass er wieder was machen kann.

[Skaroth]

Gut,

ich werde das Script wieder ausbauen. Brute Force sicheres Passwort verwende ich schon, aber es gibt genug Leute die sowas mit Vergnügen machen und denen will ich einfach einen Strich durch die Rechnung ziehen. Adminbereich "verstecken" wäre eine Möglichkeit.

Was aber wenn ich einen Warnhinweis nach dem 2. Loginversuch einbaue?

[hasch]

Mensch machs dir doch nicht so schwer,
dann baust du zur Zeitverzögerung noch eine Script ein:
(1) Beim Login wird Code generiert (5 Zahlen), die dann in die DB geschrieben werden, als $_GET Befehl hängst du den Code an eine URL, die als Weiterleitung dient, auf der Weiterleitungsseite kannst du prüfen, ob der Code DB == $_GET['code'], wenn ja dann schreibst du eine 1 in ein DB-Feld und leitest auf die Hauptseite zurück, dort wird dann geprüft, ob eine 1 in dem Feld steht oder nicht.
So, damit hätte meines Erachtens kein Brute Forcer mehr eine Chance.
Aber natürlich Nutzer und Passwort Vergleich nicht vergessen

[stefanra]

Warum so viel Coding?

System-Shutdown mit obigen HTML-Code fänd ich vollkommen ausreichend. Wer sich das PW zweimal falsch eingibt, der soll halt die "PW-an-meine-Mailadresse-schicken"-Funktion verwenden und nicht bis zum dritten oder fünften Mal warten, bis halt dann sein PC sich verabschiedet.

[Floele]

Zitat (stefanra: 24.10.2005, 22:10)

System-Shutdown mit obigen HTML-Code fänd ich vollkommen ausreichend. Wer sich das PW zweimal falsch eingibt, der soll halt die "PW-an-meine-Mailadresse-schicken"-Funktion verwenden und nicht bis zum dritten oder fünften Mal warten, bis halt dann sein PC sich verabschiedet.

Naja, also man muss das PW nicht zwangsläufig mit einem Browser eingeben, insofern bringt ein solcher HTML Code nicht unbedingt etwas (genausowenig wie JS). Eine Brute-Force Attacke per Hand ist sowieso aussichtslos ^^

Dieser Beitrag wurde von Floele bearbeitet: 24. Oktober 2005 - 21:21

[hasch]

Wie würde denn eine Hackerattacke ausgeführt werden, kann mir das grad net vorstellen!
Die müssen doch Ihre Userdaten auch an den Browser senden -> Internetseite, auch wenn Sie die Daten nicht ins Formular eintragen!?

[Floele]

Sie müssen die Daten nicht an den Browser senden, sondern sie können (im Prinzip jeder) die Daten direkt an den Server senden. Welche Daten da übertragen werden kann man frei entscheiden.
Ein Beispiel mit PHP:
http://www.faqts.com/knowledge_base/view.p...id/12039/fid/51