Nikolaus hat folgendes geschrieben: | ||
Jetzt mal ernsthaft:
Wie kann der Forenserver das Passwort unverschlüsselt verschicken, ohne dass der Admin darauf Zugriff hätte? |
NOCQUAE hat folgendes geschrieben: | ||||
Die Willkommensmail wird direkt vom dem PHP-Registrierungsskript aus verschickt. Da hat der User ja sein Passwort im Klartext eingetippt Die Variable $data['password'] enthält zur Laufzeit des Scripts folglich natürlich zunächsteinmal das Passwort im Klartext. Diese Variable kann dann dazu genutzt werden, das Passwort dem Nutzer über eine E-Mail-Vorlage zuzuschicken und das Passwort in den gerade neu angelegten Datensatz des Users einzutragen. Sobald die Laufzeit des Registrierungsscripts endet, liegt der Inhalt dieser Variablen aber nicht mehr vor. EDIT: wen es interessiert, der kann den entsprechenden PHP-Code auch einfach online einsehen (Hier phpBB 3, aber ich schätze, dass das zugrundeliegende Prinzip bei phpBB 2 das gleiche sein wird) |
Rasmus hat folgendes geschrieben: |
.....
So wie's aussieht, wird da eine hash-Funktion benutzt. D.h. das Passwort wird nicht verschlüsselt oder sonstwie abgespeichert, sondern aus dem PAsswort wird ein code errechnet und dieser Code wird dann gespeichert. Selbst wenn der Server-Admin Einblick in die Datenbank nimmt und alle Zugänge zum Server kennt und benutzt, kann er so keine Passworte entschlüsseln. (Theoretisch wäre es möglich, eine Brute-Force-Attacke laufen zu lassen, bis ein so getestetes Password den richtigen Code ergibt, und ggf. kann das sogar schneller gehen, als wenn man das PAsswort direkt erraten wollen würde. Mehr wäre aber nicht möglich. |
fwo hat folgendes geschrieben: | ||
Bis auf die ausgehende Bestätigung ist dieses Verfahren so ja üblich. Aber als schlitzohriger Admin würde ich hier nicht in in der Code-Datei für die Passwörter rumprokeln, sondern mir die rausgehenden Willkommensgrüße kopieren. fwo |
Rasmus hat folgendes geschrieben: |
So wie's aussieht, wird da eine hash-Funktion benutzt. D.h. das Passwort wird nicht verschlüsselt oder sonstwie abgespeichert, sondern aus dem PAsswort wird ein code errechnet und dieser Code wird dann gespeichert. |
Zitat: |
zitat |
rumo hat folgendes geschrieben: | ||
Hallo Welt!
http://www.ixquick.de/ [/img]http://bs.cyty.com/menschen/e-etzold/archiv/TV/test/img/farbe1967.jpg[img] [/img] Rote Schrift in blaue Schrift umgewandelt. Hornochse Rote Schrift ist der Moderation vorbehalten. |
NOCQUAE hat folgendes geschrieben: |
... |
Hornochse hat folgendes geschrieben: |
Hallo rumo, die Forenregeln hast du offensichtlich gut gelesen. Da kann ja nichts mehr schief gehen. |
rumo hat folgendes geschrieben: | ||
hallöchen! die moderation ist hier jedenfalls auf zack. gib mir noch ein bisschen zeit, dann wird das schon. warum erscheint img* immer am ende des letzten textes wenn ich es klicke? |
rumo hat folgendes geschrieben: |
warum erscheint img* immer am ende des letzten textes wenn ich es klicke? |
NOCQUAE hat folgendes geschrieben: |
Bei sehr alten Firefox-Versionen gab es da Zeitweise mal Probleme, bei denen die Tags immer am Ende eingefügt wurden. |
Louseign hat folgendes geschrieben: | ||
Wenn der Skin »Desert Storm« verwendet wird, ist es übrigens immer noch so, auch mit FF 3.0.17 |
Zoff hat folgendes geschrieben: | ||||
Ich kenn das gar nicht anders.. |
fwo hat folgendes geschrieben: |
Bis auf die ausgehende Bestätigung ist dieses Verfahren so ja üblich. Aber als schlitzohriger Admin würde ich hier nicht in in der Code-Datei für die Passwörter rumprokeln, sondern mir die rausgehenden Willkommensgrüße kopieren. |
vrolijke hat folgendes geschrieben: |
I understand just station. |
vrolijke hat folgendes geschrieben: |
I understand just station. |
NOCQUAE hat folgendes geschrieben: |
Bei der Anmeldung gibts dann kein Eingabefeld für das Passwort, sondern nur ein Eingabefeld für z. B. den sha256-Hash des gewünschten Passworts, und der Wert wird dann direkt so in die Datenbank eingetragen. Also anstatt Passwort „Spam“ „94a9eac404c8c6ff825a438e1f8f3ff1afa9340dd3d1a6412d2c511a800de478“ ... |
Noseman hat folgendes geschrieben: | ||
50% davon sind mir zu hoch. Der Rest davon ist mir viel zu hoch. |
Rasmus hat folgendes geschrieben: | ||
Was würde das denn bringen? Das ist dann ein langes und an sich hinreichend sicheres Password, aber es wäre mindestens ebenso angreifbar wie ein gutes Passwort das jetzt schon ist, oder? |
NOCQUAE hat folgendes geschrieben: | ||||
Öh, nee. Das Verfahren wäre genau dasselbe, wie es jetzt ist, nur, dass einmal die Berechnung des Hashs automatisch vom Registrierungsskript übernommen wird, beim anderen mal die Berechnung vor der Anmeldung direkt vom User. Der Sicherheitsgewinn ist der, dass das Passwort selbst zu keinem Zeitpunkt irgendwohin übertragen wird. |
Rasmus hat folgendes geschrieben: |
Jetzt verstehe ich das. D.h. bei der Anmeldung übermittle ich den Hash von meinem PAsswort, und später beim Login benutze ich aber wie gehabt das Passwort? |
NOCQUAE hat folgendes geschrieben: |
„Ich bin in der Lage, vorgegebene, detaillierte Anweisungen Schritt für Schritt zu befolgen“. |
Noseman hat folgendes geschrieben: | ||
Ist das der Sinn eines kritischen Forums, das können und machen zu müssen? Dann lieber nur Doofe als User. |
narziss hat folgendes geschrieben: | ||
|
Zoff hat folgendes geschrieben: |
test2 |
Noseman hat folgendes geschrieben: | ||
Ich hab jedesmal eine Benachrichtigungsmail gekriegt. Hat das was mit dem Test zu tun? |
output generated using printer-friendly topic mod. Alle Zeiten sind GMT + 1 Stunde