Brute Force Schutz Bei Php Loginscript Crash Script legal?
#1
geschrieben 24. Oktober 2005 - 19:10
ich bastle zur Zeit an einem Loginscript in PHP. Es soll erstmals nur eine Art Adminbereich werden. Da bin ich auf die Idee gekommen ein Crash Script mittels Java Script einzubauen, welches bei drei fehlgeschlagenen Loginversuchen aktiv wird.
Das Crash Script ruft mittels setInterval eine Funktion auf, die ein alert Fenster beinhaltet. Diese Funktion ruft sich widerrum mittels setInterval selbst auf. Fazit: Unmengen von Intervallen --> Browser stürzt ab.
Auch wenn es für manch einen Unsinn ist, ist so ein Cash Script erlaubt? Immerhin richtet es nicht wirklich Schaden an, da sich nur der Browser aufhängt.
Anzeige
#2
geschrieben 24. Oktober 2005 - 19:20
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#3
geschrieben 24. Oktober 2005 - 19:27
Zitat
Ist es. Seit wann bruteforcet man mit einem dazu noch JavaScript-fähigen Webbrowser?
Zitat
IANAL, aber ich kenne einschlägigen Paragraphen, der dich dafür verantwortlich machen könnte, wenn ein Client beim Aufruf deines Contents abschmiert.
Zitat
Wie gut, daß ich window.alert in der Policy deaktiviert habe. In FF 1.5 ist das dann auch standardmäßig so, daß man trotz alert()-Fensterchen weiterhin Zugriffs auf's gesammte GUI hat und somit die Seite einfach schließt.
Und sag mal, fändest du einen Crash des gesamte Windows-Unterbaus nicht viel lustiger?
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4
geschrieben 24. Oktober 2005 - 19:40
Rika sagte:
Das ist bei dem beschriebenen Vorgehen sowieso der Fall, wenn die Seite mit dem IE aufgerufen wird
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#5
geschrieben 24. Oktober 2005 - 19:42
#6
geschrieben 24. Oktober 2005 - 19:57
Zitat
Seit wann denn das? Normalerweise stirbt der iexplore-Prozess immer für sich alleine, oder, wenn via Explorer aufgerufen, halt der Explorer-Prozess und damit nur das Desktop-GUI.
Nein, nein, tödliche Crashes kriegt man nur via übergroßen Speicherallokierungen hin. Ob nun im Grafiktreiber (img width=99999999 height=99999999) oder im Browser-Prozess selbst (img src=a.bmp, a.bmp: [Bitmap Header][Length of header][width: 1111111, height: 111, depth:24][pixel content (truncated)]), wobei letzteres einfach zu nahezu unendlichem Swapping führt und wegen der schwachen Trennung zwischen Shell-Komponenten und IE auch nicht abgebrochen werden kann.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 24. Oktober 2005 - 20:03
#8
geschrieben 24. Oktober 2005 - 20:04
Rika sagte:
Bei den schwächeren Systemen bei uns an der Schule resultiert besagtes Beispiel in einem System-Freeze. Da stirbt gar nichts mehr
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#9
geschrieben 24. Oktober 2005 - 20:06
Zitat (Graumagier: 24.10.2005, 21:04)
Außer vielleicht der User, der grade davor sitzt und drau wartet, dass er wieder was machen kann.
#10
geschrieben 24. Oktober 2005 - 20:29
ich werde das Script wieder ausbauen. Brute Force sicheres Passwort verwende ich schon, aber es gibt genug Leute die sowas mit Vergnügen machen und denen will ich einfach einen Strich durch die Rechnung ziehen. Adminbereich "verstecken" wäre eine Möglichkeit.
Was aber wenn ich einen Warnhinweis nach dem 2. Loginversuch einbaue?
#11
geschrieben 24. Oktober 2005 - 21:06
dann baust du zur Zeitverzögerung noch eine Script ein:
(1) Beim Login wird Code generiert (5 Zahlen), die dann in die DB geschrieben werden, als $_GET Befehl hängst du den Code an eine URL, die als Weiterleitung dient, auf der Weiterleitungsseite kannst du prüfen, ob der Code DB == $_GET['code'], wenn ja dann schreibst du eine 1 in ein DB-Feld und leitest auf die Hauptseite zurück, dort wird dann geprüft, ob eine 1 in dem Feld steht oder nicht.
So, damit hätte meines Erachtens kein Brute Forcer mehr eine Chance.
Aber natürlich Nutzer und Passwort Vergleich nicht vergessen
#12
geschrieben 24. Oktober 2005 - 21:10
System-Shutdown mit obigen HTML-Code fänd ich vollkommen ausreichend. Wer sich das PW zweimal falsch eingibt, der soll halt die "PW-an-meine-Mailadresse-schicken"-Funktion verwenden und nicht bis zum dritten oder fünften Mal warten, bis halt dann sein PC sich verabschiedet.
#13
geschrieben 24. Oktober 2005 - 21:20
Zitat (stefanra: 24.10.2005, 22:10)
Naja, also man muss das PW nicht zwangsläufig mit einem Browser eingeben, insofern bringt ein solcher HTML Code nicht unbedingt etwas (genausowenig wie JS). Eine Brute-Force Attacke per Hand ist sowieso aussichtslos ^^
Dieser Beitrag wurde von Floele bearbeitet: 24. Oktober 2005 - 21:21
#14
geschrieben 25. Oktober 2005 - 18:43
Die müssen doch Ihre Userdaten auch an den Browser senden -> Internetseite, auch wenn Sie die Daten nicht ins Formular eintragen!?
#15
geschrieben 25. Oktober 2005 - 19:10
Ein Beispiel mit PHP:
http://www.faqts.com/knowledge_base/view.p...id/12039/fid/51