(Frage aus sicherheitstechnischen Überlegungen, falls es jemand interessiert. ^^)
Forum
Unreal Software Sicherheit automatisches EinloggenSicherheit automatisches Einloggen
8 replies 1
(Frage aus sicherheitstechnischen Überlegungen, falls es jemand interessiert. ^^)
Aus diesem Grund sollte man auf unsicheren Rechnern und vor allem auch auf Rechnern, die noch andere nutzen, den automatischen Login über Cookies natürlich nicht nutzen oder sich zumindest richtig ausloggen (wobei der Logincookie gelöscht wird).
(eingegebene username:password -> username:passwordHash -> an Server senden?)
Die Frage ist dabei: Wie werden die Daten selber im Cookie gespeichert? Per Hash-Funktion oder in "leichterer Art" wie beispielsweise Base64-Kodierung?
Alles in allem ist das kein großes Sicherheitsrisiko bei einer vom Geldwert eher gering einzuschätzenden Seite wie Unreal Software, aber falls man irgendwann sowieso sich um die Auto-Login-Funktion kümmert, könnte man in das Thema 5 Minuten Gedanken investieren.
Alles in allem sollte man nicht darauf vertrauen, dass der Login auf Unreal Software übermäßig sicher ist. (Keine Verschlüsselung per bspw. SSL oder so.) Ob das jetzt wirklich für solch eine Seite nötig ist (SSL ist aufwendig einzubauen) sei mal dahingestellt.
Persönlich mach ich mir schon längere Zeit Gedanken über mein Verhalten und die Sicherheit im Netz. Das NSA-Zeugs trug da nur einen Teil bei. Die Sicherheit von mir genutzten Seiten spielt da auch eine Rolle. Verschlüsselung und das ganze Drum-herum ist aber auch (für mich) ein spannendes Thema.
Nova has written
Ja, da fände ich es viel sinnvoller https / SSL zu verwenden. Vielleicht sollte sich DC mal irgendwo ein kostenloses Zertifikat holen und dann auf HTTPS umsteigen. Wäre definitiv schonmal um einiges sicherer. Sobald er ein Zertifikat hat ist es nicht mehr so aufwendig https einzurichten Zum einen werden damit bei jeder Anfrage an den Server die Cookies (und damit anscheinend auch das leicht zu berechnende Passwort) übersendet [...]
Alles in allem sollte man nicht darauf vertrauen, dass der Login auf Unreal Software übermäßig sicher ist. (Keine Verschlüsselung per bspw. SSL oder so.) Ob das jetzt wirklich für solch eine Seite nötig ist (SSL ist aufwendig einzubauen) sei mal dahingestellt.
Alles in allem sollte man nicht darauf vertrauen, dass der Login auf Unreal Software übermäßig sicher ist. (Keine Verschlüsselung per bspw. SSL oder so.) Ob das jetzt wirklich für solch eine Seite nötig ist (SSL ist aufwendig einzubauen) sei mal dahingestellt.
Was soll es bringen clientseitig einen Hash zu speichern statt dem Passwort? Dann muss man sich mit dem Hash einloggen können (weil Hashfunktionen immer Einweg-Funktionen sind). Dann hat der Angreifer halt den Hash und loggt sich damit ein statt mit dem Passwort. Im Account ist er danach trotzdem.
Das Passwort wird so oder so beim Login im Klartext gesendet. Wie bei jeder Seite ohne SSL. Ob die Daten aus der manuellen Eingabe oder einem Cookie kommen, macht keinen Unterschied.
Ein Schutz über SSL ist tatsächlich relativ einfach einzubauen, allerdings muss man Geld für ein Zertifikat bezahlen, wenn der Browser einen nicht mit Warnmeldungen zubomben soll. Da hier keine Transaktionen mit Geld o.ä. stattfinden, halte ich es nicht für nötig viel Geld in SSL-Zertifikate zu investieren.
Hash-Passwörter: Natürlich stimmt alles was du sagst, aber bei dieser Methode wüsste der Angreifer nur die Login-Daten von us.de (auch wenn der einzelne User das gleiche Passwort auf allen Webseiten benutzt). Persönlich finde ich, dass sich der Aufwand lohnen würde.
SSL: ohaz hat ja schon geschrieben, dass es kostenlose Zertifikate gibt, bloß hier herrscht bei mir Unsicherheit (ah, Marketing & menschliche Natur). Der Rechenaufwand wäre ohnehin minimal (eigentlich nur die Anmeldeseite + Profil-Änderung)
Wer noch immer so blöd ist, das gleiche Passwort für verschiedene Zwecke zu nutzen, gehört bestraft. Eine zusätzliche Loginoption per Hash wäre gleichzeitig ein weiteres Einfallstor für Angreifer und somit würde ich davon gerne absehen wollen.
1