nicht angemeldet
Aufruf zum Knacken eines JavaScript-Passwortschutzes
Hallo alle zusammen,
obwohl es ja allgemein heißt, daß ein Javascript-Paßwortschutz nicht besonders sicher ist,
habe ich für meine Zwecke einen gebastelt.
Ich würde aber gerne wissen, wie sicher er ist und wie schnell er geknackt werden kann.
Deshalb rufe ich alle "Freiwilligen" auf, die Seite
http://www.hof.baynet.de/~ho1794/pw/promptpass.html
zu besuchen und nach Herzenslust zu versuchen, den Schutz zu umgehen. Wer es geschafft hat,
bitte e-mail an mich mit der Information, was auf der geschützten Seite steht --- und wie er/sie es
geschafft hat ;-).
Vielen Dank im voraus für die Mithilfe.
Ciao,
Reinhard
-
Hallo,
also meiner Meinung nach ist diese Abfrage von der HTML-Seite her nicht knackbar, weil das PW dort nicht vorkommt. Dummerweise heisst allerdings die Seite (zwangsweise) genauso wie das passwort, was sich wohl nicht vermeiden lässt.
oder will mich jemand vom Gegenteil überzeugen?! :O)
Gruß
Thomas J.-
Hallo,
also meiner Meinung nach ist diese Abfrage von der HTML-Seite her nicht knackbar, weil das PW dort nicht vorkommt. Dummerweise heisst allerdings die Seite (zwangsweise) genauso wie das passwort, was sich wohl nicht vermeiden lässt.
oder will mich jemand vom Gegenteil überzeugen?! :O)
Ja, ich. Versuch mal http://www.teamone.de/selfaktuell/artikel/md5.htm da steht ein Javascript zur MD5-Verschlüsselung rum. Wenn man das Passwort erst da durchjagt und dann den entstehenden String (oder einen Teil davon nimmt) könnte das schon recht professionell werden. Außerdem könnte man den Dateinamen beliebig ändern ohne das Passwort zu verändern, indem man dem Passwort vor dem Verschlüsseln noch irgendeinen String anhängt.
-
-
Hallo alle zusammen,
obwohl es ja allgemein heißt, daß ein Javascript-Paßwortschutz nicht besonders sicher ist,
habe ich für meine Zwecke einen gebastelt.Ich würde aber gerne wissen, wie sicher er ist und wie schnell er geknackt werden kann.
Deshalb rufe ich alle "Freiwilligen" auf, die Seite
http://www.hof.baynet.de/~ho1794/pw/promptpass.html
zu besuchen und nach Herzenslust zu versuchen, den Schutz zu umgehen. Wer es geschafft hat,
bitte e-mail an mich mit der Information, was auf der geschützten Seite steht --- und wie er/sie es
geschafft hat ;-).Vielen Dank im voraus für die Mithilfe.
Ciao,
Reinhard
Hallo Reinhard
ich weiß nicht ob ich irgendetwas übersehen habe aber ich denke das du nciht
weiter machst als einen Bildnamen als Htlm-document zu formulieren !
Dieser Dateiname müßte meier meinung nach der Schlüssel zu deiner Seite
sein.
er steht ganz einfach unverschlüsselt im Sourcecode drin !
Dadurch kommt man zwar an der passwortabfrage vorbei,
jedoch gibt es diese Seite auch nicht !Ich hoffe ich habe dir damit weiter geholfen
write back -
Hallo alle zusammen,
obwohl es ja allgemein heißt, daß ein Javascript-Paßwortschutz nicht besonders sicher ist,
habe ich für meine Zwecke einen gebastelt.Ich würde aber gerne wissen, wie sicher er ist und wie schnell er geknackt werden kann.
Deshalb rufe ich alle "Freiwilligen" auf, die Seite
http://www.hof.baynet.de/~ho1794/pw/promptpass.html
zu besuchen und nach Herzenslust zu versuchen, den Schutz zu umgehen. Wer es geschafft hat,
bitte e-mail an mich mit der Information, was auf der geschützten Seite steht --- und wie er/sie es
geschafft hat ;-).Vielen Dank im voraus für die Mithilfe.
Ciao,
Reinhard
dass das Ding im Source-code steht, kommt ja noch dazu, ich hab nur gelesen bis zum script "passwort", festgestellt, dass Du den Namen eines Images erwartest und dann dein web nach images durchsucht und eben 3pixwhite.gif gefunden.
-
dass das Ding im Source-code steht,
ja, aber eben nicht das Passwort
ich hab nur gelesen bis zum script "passwort", festgestellt,
dann hast Du nicht weit genug gelesen
dass Du den Namen eines Images erwartest
und den Code nicht verstanden.
web nach images durchsucht und eben 3pixwhite.gif gefunden.
das steht ja auch im code, ist aber nicht die gesucht Datei.
da könnte auch http://www.teamone.de/selfaktuell/src/xweb.gif stehen ...Gruß Frank
P.S.
Ablauf des Scripts:
(1)beim klicken wird ein gif getauscht mit dem Namen des Passworts (passwort.gif)
(2)ist das Laden erfolgreich, (onLoad) dann wird die Seite "passwort.html" geladen -> ok
(3)ist das Laden nicht erfolgreich, weil File nicht existiert (onError), dann gibts 'nen alert -> falsches PWKleiner Nachteil der Lösung: für jedes Passwort müssen 2 Dateien (gif & html) auf dem Server existieren.
Aber die können ja alle gleich und klein sein, und aus der html kann zu der eigentliche Seite weitergeleitet werden.
Das bietet sogar die Möglichkeit für unterschiedliche Nutzer zu anderen Seite weiterzuleiten.
-
-
obwohl es ja allgemein heißt, daß ein Javascript-Paßwortschutz nicht besonders sicher ist,
Als Passwortschutz wuerde ich das eigentlich nicht bezeichnen, da das Passwort und der Dateiname identisch sind. Den gleichen Effekt wuerdest Du erzielen, wenn Du einfach einen Link nur bestimmten Leuten zukommen lassen wuerdest (www.schlagmichtot.de/pw/geheimeseite.html)
-
obwohl es ja allgemein heißt, daß ein Javascript-Paßwortschutz nicht besonders sicher ist,
Als Passwortschutz wuerde ich das eigentlich nicht bezeichnen, da das Passwort und der Dateiname identisch sind. Den gleichen Effekt wuerdest Du erzielen, wenn Du einfach einen Link nur bestimmten Leuten zukommen lassen wuerdest (www.schlagmichtot.de/pw/geheimeseite.html)
ich hätte nicht gedacht, dass es tatsächlich eine domäne
www.schlagmichtot.de gibt *g*Gruss
Christian-
ich hätte nicht gedacht, dass es tatsächlich eine domäne
www.schlagmichtot.de gibt *g*Leider doch, ansonsten waere sie schon laengst meine ;)
-
-
obwohl es ja allgemein heißt, daß ein Javascript-Paßwortschutz nicht besonders sicher ist,
Als Passwortschutz wuerde ich das eigentlich nicht bezeichnen, da das Passwort und der Dateiname identisch sind. Den gleichen Effekt wuerdest Du erzielen, wenn Du einfach einen Link nur bestimmten Leuten zukommen lassen wuerdest (www.schlagmichtot.de/pw/geheimeseite.html)
Ein wenig trickreicher ist die geschichte schon, schau 'mal unter http://www.irt.org/articles/js075/index.htm nach, da wird nämlich das prinzip erklärt!
/*,*/
Wowbagger
-
-
obwohl es ja allgemein heißt, daß ein Javascript-Paßwortschutz nicht besonders sicher ist,
habe ich für meine Zwecke einen gebastelt.Ich würde aber gerne wissen, wie sicher er ist und wie schnell er geknackt werden kann.
:-) nicht schlecht gemacht, eine kleine Verbesserung noch ;-) alle die als Paßwort 3pixwhite eingeben einfach auf eine andere "geheime" Seite leiten.
Es ist im gut die Leute im Glauben zu lassen, sie hätten es geschafft.Viele Grüße
Antje
-
Hi Reinhard,
obwohl es ja allgemein heißt, daß ein Javascript-Paßwortschutz nicht besonders sicher ist,
habe ich für meine Zwecke einen gebastelt.Ist schon irgendwie tricky. Aber afaik steht doch dann in dem Logfile des Servers das aufgerufene Gif, und somit das Passwort. Dann kann jeder, der Zugriff auf das Logfile hat (ich weis ja nicht, wo eure Seite gehostet ist) das Passwort auslesen (der Zusammenhang ist ja schnell hergestellt).
Gruß AlexBausW
-
Deshalb rufe ich alle "Freiwilligen" auf, ...
Vielen Dank an alle, die bisher mitgemacht haben.
Gleich noch eine Anschlußfrage:
Wenn im Eingabefeld jemand die Enter-Taste drückt, statt OK anzuklicken, so wird
"?pw=..." im URL angehängt. Wie kann man das verhindern?Ich habe im Augenblick ein Event definiert, das die Enter-Taste im entsprechenden Feld abfragt
und dann die Seite neu lädt, um das "?..." wegzubekommen. Aber es muß doch eine einfachere
Lösung geben ?Wenn ich in der Eventhandler-Funktion die Seite neu lade (window.location.href), so wird dies
aber NICHT ausgeführt. Schreibe ich noch ein Alert dahinter, das dem Benutzer sagt, daß er
fälschlich die Enter-Taste gedrückt hat, so funktioniert das location.href plötzlich.Ciao,
Reinhard
-
Hallo Reinhard,
»» Wenn im Eingabefeld jemand die Enter-Taste drückt, statt OK anzuklicken, so wird
"?pw=..." im URL angehängt. Wie kann man das verhindern?
<form onsubmit="return false;">
sollte dein Programm lösen.
Viele Grüße
Antje
-
-
Hallo Reinhard,
vergiß nicht, auf keinen Fall externe Links auf den geschützten
Seiten unterzubringen, da sonst die Webmaster der verlinkten
Seiten die Adressen der geschützten Seiten in den Logs stehen
haben.CYa
GONZO