udvikleren.dk - Dårlig sikkerhed. - Udvikleren.dk - Programmering, webdesign og grafik

Tags: udvikleren.dk

<< < 1 2 3 > >>

Bruger #1742 @ 18.11.04 19:01

Nu sad jeg lige og kiggede mine cookies igennem, og fandt både mit username og password i ren tekst.
Det skræmmer mig lidt.
Burde det ikke være krypteret.!?!?

Hilsen k-roy
(christian bekker A.)
Msn: K_r0y@hotmail.com
-- Problemer er til for at blive løst

Bruger #2855 @ 18.11.04 20:00

Nu sad jeg lige og kiggede mine cookies igennem, og fandt både mit username og password i ren tekst.
Det skræmmer mig lidt.
Burde det ikke være krypteret.!?!?

Hilsen k-roy
(christian bekker A.)
Msn: K_r0y@hotmail.com
-- Problemer er til for at blive løst --

Det synes jeg vi alle burde se... kan du ikke lige skrive filens indhold

******************
*Fishing is a lifestyle*
*Like Computer is *
******************

Bruger #5688 @ 18.11.04 20:34

146

Det synes jeg vi alle burde se... kan du ikke lige skrive filens indhold

Ja, jeg vil også gerne have flere detaljer.

Spøg til side, du kan ikke gemme brugernavn og password med en ordentlig kryptering, idet det skal dekrypteres når det skal sendes til serveren. En simpel bitflip ville måske være okay.

Under alle omstændigheder, så er det ret ligegyldigt - de fleste programmer gemmer det på denne måde, og med mindre du holder åbent hus i din cookie-mappe burde der ikke være problemer.

Bruger #1743 @ 18.11.04 21:08

Nu sad jeg lige og kiggede mine cookies igennem, og fandt både mit username og password i ren tekst.
Det skræmmer mig lidt.
Burde det ikke være krypteret.!?!?

Hilsen k-roy
(christian bekker A.)
Msn: K_r0y@hotmail.com
-- Problemer er til for at blive løst --

Man kunne sagtens bruge MD5 sammen med PHP/MySQL.
Begge dele har funktioner til den slags.
-
Mvh.
Christian Schultz Knudsen

Bruger #1425 @ 18.11.04 22:44

354

Man kunne sagtens bruge MD5 sammen med PHP/MySQL.
Begge dele har funktioner til den slags.
-
Mvh.
Christian Schultz Knudsen

Så ville man ikke være kommet et skridt videre. Skulle man så sende md5 summen som så skulle matches imod en md5 sum i databasen? Det giver jo, fra et sikkerhedsmæssigt synspunkt, ingen forskel. Der sendes brugernavn og password over en plaintext http forbindelse. Om passwordet er en md5 hash værdi er ligegyldig, da en angriber jo så blot skal sende den istedet. Den eneste risiko ved en cookiebasseret løsning er i klientmaskinen. Der bør det kun være din egen bruger som har adgang til at læse indholdet af den cookie. Der er derfor man kan sætte flueben i "Offentlig computer" før man logger ind.

Det eneste sted hvor en md5-hash kan bruges i denne sammenhæng er i databasedelen. Hvis en angriber fik adgang til databasen ville denne kun kunne se en masse hash-værdier som ikke kan bruges til at logge ind med.

Mvh,

Thomas Nielsen

Bruger #1742 @ 19.11.04 07:51

114

Man kunne sagtens bruge MD5 sammen med PHP/MySQL.
Begge dele har funktioner til den slags.
-
Mvh.
Christian Schultz Knudsen

Så ville man ikke være kommet et skridt videre. Skulle man så sende md5 summen som så skulle matches imod en md5 sum i databasen? Det giver jo, fra et sikkerhedsmæssigt synspunkt, ingen forskel. Der sendes brugernavn og password over en plaintext http forbindelse. Om passwordet er en md5 hash værdi er ligegyldig, da en angriber jo så blot skal sende den istedet. Den eneste risiko ved en cookiebasseret løsning er i klientmaskinen. Der bør det kun være din egen bruger som har adgang til at læse indholdet af den cookie. Der er derfor man kan sætte flueben i "Offentlig computer" før man logger ind.

Det eneste sted hvor en md5-hash kan bruges i denne sammenhæng er i databasedelen. Hvis en angriber fik adgang til databasen ville denne kun kunne se en masse hash-værdier som ikke kan bruges til at logge ind med.

Mvh,

Thomas Nielsen

Det kan selvfølgelig være rigtigt. men stadig lidt skræmmende.

Hilsen k-roy
(christian bekker A.)
Msn: K_r0y@hotmail.com
-- Problemer er til for at blive løst

Bruger #5779 @ 19.11.04 08:37

305

Jeg kan kun give forfatteren til denne tråd ret. Indholdet af cookies bør være krypteret. Det burde være en principiel ting at man altid krypterer eller hash'er et password uanset hvor det nu gemmes!!!!

Mvh. Thomas Lykke Petersen

Bruger #1743 @ 19.11.04 09:02

Du mener simpelthen at:

$a = md5("test");
$b = md5($a);

if($a==$b)
{
// dette kode vil blive eksekveret?
}

Jeg er 99,9% sikker på, at du tager grusomt fejl, Thomas.
-
Mvh.
Christian Schultz Knudsen

Bruger #1425 @ 19.11.04 09:22

354

Jeg kan kun give forfatteren til denne tråd ret. Indholdet af cookies bør være krypteret. Det burde være en principiel ting at man altid krypterer eller hash'er et password uanset hvor det nu gemmes!!!!

Mvh. Thomas Lykke Petersen

Hvorfor?
Der bliver sendt et password i klartekst. Dette password kan så enten være sin originale form eller en hashværdi. Hvad enten der vælges bliver dette matchet op imod den kendte værdi fra databasen. Hvordan skal der komme nogen form for ekstra sikkerhed så?
Hvis du mener passworded skal krypteres på klientmaskinen tager du grueligt fejl... Så krypterer vi et password, og gemmer nøglen ved siden af eller hvordan havde du tænkt dig at passwordet igen skulle give mening for Udv's database?

Som nævnt i mit tidligere svar er den eneste risiko at klientmaskinen biver kompromitteret, hvor cookiens indhold så kan aflæses.

Mvh,

Thomas Nielsen

Bruger #1743 @ 19.11.04 09:31

Jeg kan kun give forfatteren til denne tråd ret. Indholdet af cookies bør være krypteret. Det burde være en principiel ting at man altid krypterer eller hash'er et password uanset hvor det nu gemmes!!!!

Mvh. Thomas Lykke Petersen
Hvorfor?
Der bliver sendt et password i klartekst. Dette password kan så enten være sin originale form eller en hashværdi. Hvad enten der vælges bliver dette matchet op imod den kendte værdi fra databasen. Hvordan skal der komme nogen form for ekstra sikkerhed så?
Hvis du mener passworded skal krypteres på klientmaskinen tager du grueligt fejl... Så krypterer vi et password, og gemmer nøglen ved siden af eller hvordan havde du tænkt dig at passwordet igen skulle give mening for Udv's database?

Som nævnt i mit tidligere svar er den eneste risiko at klientmaskinen biver kompromitteret, hvor cookiens indhold så kan aflæses.

Mvh,

Thomas Nielsen

1. Bruger indtaster password
2. Password (stadig klartekst) sendes til et SERVERSIDE phpscript, som først kører den gennem en md5(); og derefter matcher vs. databasen.

For at en hacker kan komrpirtmkrmii SSCCHH omgå dette, skal han altså rette i PHP-scriptet.
Er det meget indviklet? Jeg kan godt lave et nyt eksempel hvis det er, hvor jeg så evt. kan prøve at gøre det endnu mere firkantet, om muligt.
-
Mvh.
Christian Schultz Knudsen

Bruger #5688 @ 19.11.04 10:00

146

1. Bruger indtaster password
2. Password (stadig klartekst) sendes til et SERVERSIDE phpscript, som først kører den gennem en md5(); og derefter matcher vs. databasen.

Crackeren bryder ind mellem 1 og 2:

1.5: Hackeren sniffer det password der sendes i klartekst. Desuden, din løsning har ikke noget med cookies at gøre - der skal passwordet stadigvæk gemmet et sted. Det kan krypteres i cookien, javist, men så skal du bruge et password for at dekryptere det, og hvor skal det så gemmes...

<< < 1 2 3 > >>

Dårlig sikkerhed.

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler