molily: Problem: Link über Namen ansprechen, nicht über Nummer

Beitrag lesen

SELF-Forum

Problem: Link über Namen ansprechen, nicht über Nummer

molily Homepage des Autors
Informationen zu den Bewertungsregeln

Hallo, Andreas,

Kann man mit Hilfe von Javascript Formular-Daten evtl. so übermitteln, das man es nicht so einfach mit einem brute-force Script nachstellen kann?

Ich habe keine Ahnung, was du hier meinst, ich sage aber einfach mal nein.

Man kann mit Javascript recht erstaunliche Sachen machen, da dachte ich vielleicht auch Formulardaten versenden, aber ich vermute das das keinen Vorteil bringt gegenüber einem "normalen" Formular.

Sicherlich kannst du ein Formular per HTML erst einmal falsch vorbelegen (action-Attribut) und dann ein diffuses JavaScript, welches durch ein serverseitiges Script generiert wird und nur einmal mit einer bestimmten Session-ID funktionsfähig ist, heimlich im Hintergrund ausführen, welches dann die richtigen Parameter setzt. Oder welches in die Eingabedaten Zufallszahlen einmischt und sie siebenmal quirlt, MD5-verschlüsselt, ... und, und, und. Der Punkt ist aber, dass der Aufwand im Vergleich zum Nutzen unverhältnismäßig hoch ist und JavaScript mag eigentlich niemand und ohne sollte es trotzdem funktionieren.
Kurz gesagt: auf diese Art ist es sinnlos, denn im Endeffekt wird ein GET- oder POST-Request gesendet, den man irgendwie reproduzieren kann. Mit JavaScript-Spielereien hält man vielleicht Kiddies ab, aber sehr wirkungsvoll gegen ernsthafte Einbruchsversuche sind solche clientseitigen Versuche nicht.
Selbst wenn du IP-Sperren und sonstige Möglichkeiten nutzt, um die Anzahl der möglichen Loginversuche einzuschränken, ist Brute Force immer noch möglich, die Frage ist, wie man es erschweren kann. Man könnte alle Versuche in einer Datenbank loggen und den Account nach $X Loginversuchen sperren, worauf der Benutzer das Passwort nur noch per Masterpasswort per Email anfordern kann.
Oder man fügt lustige sleep()s in die Skripte ein, oder lässt pro Minute nur einen Loginversuch zu - damit kannst du Brute Force-Attacken serverseitig lahmlegen oder zumindest enorm erschweren.
Zumindest wirst du es nicht "einfach" mit JavaScript realisieren können, nur weil man damit viele andere "recht erstaunliche Sachen" machen kann. Irgendwann würde jemand auf die Funktionsweise kommen und das Script, welches im Klartext verfügbar ist, durchschauen.
Wenn du wirklich schützenswerte Daten hast, dann stelle sie nicht ins weltweite Netz, oder gib deinen Benutzern schwer knackbare hexakryptische Passwörter.

Mathias

Beitrag melden
Informationen zu den Bewertungsregeln