Andreas: Passwortseite mit Übergabe an .htaccess

Beitrag lesen

Hallo!

Die Hälfte wird es nicht sein, sondern nur die absolute Ausnahme. Dennoch: Der User-Agent ist als Erkennungsindiz sinnvoll bei sowas wie einer Counter-Reloadsperre, wenn es nichts ausmacht, nicht wiedererkannt zu werden. Bei allem, was einen Login erfordert, möchte der User zu Recht nicht ständig seine Daten neu eingeben müssen - das ist nämlich evtl. auch wieder ein Sicherheitsrisiko, oder zumindest scheint es so.

off-topic: Counter reload-Sperre ist gut, wenn ich einen einfachen counter habe, der einfach hochzählt, wie soll ich da sowas wie user-agent einbuinden? Dann müßte ich ja die einzelnen Zugriffe zählen und dann user_agent und IP in eine txt oder DB schreiben, was zu sehr viel unnötigem Datenmüll führt., naja, ich könnte ja imme rienträge älter als eine Studne löschen, dann brauch ich noch den Zeitpunkt, oder wie meintest Du das mit der Reload-Sperre? Ist das was anderes als bei online_Abstimmungen, wo man wenn einmal gewählt nicht mehr mitmachen(manipulieren) kann? Oder macht man sowas besser mit Cookies? Das wäre aber leicht zu überwinden.

denn komischerweise hatten alle Leute dieselbe REMOTE_ADRESS, und das war die des weiterleitenden Providers!

Das ist dann aber ein Problem, dass mit dem Webspace zusammenhängt, und ergo lösbar ist: spätestens durch einen Providerwechsel. Sowas musst Du nur einmalig sicherstellen, und brauchst es somit bei einem sicherheitsrelevanten Algorithmus nicht weiter zu beachten. Wichtig ist, was von Clientseite aus auf welche Weise zu Dir getragen wird.

Naja, aber ich
habe gerade mal in meinen eigenen "Versuchs-Logs" geguckt, und zwar habe ich mal zum rumprobieren auf einer Seite Vor jede Seite einen eigenen Log-mechanismus gehängt, der mir alle Daten "die ich kriegen kann" in eine MySQL Tabelle loggt, schon sortiert. Außerdem verpasse ich jedem auf der Seite eine PHPSESSID, die über Links weitergegeben wird. Die wird mitgeloggt, so kann ich sehr schön einzelne User über die Seite verfolgen(wirklich nur mal zum probieren :-)) ABER:
Ich habe festgestellt, das Leute mit gleicher IP Adresse während eines Besuches verschiedene IP-Adressen hatten!!! Hier mal ein Auszug durch folgende SQL-Abfrage:

SELECT
   IP,PHPSESSID,changed
  FROM h\_log
  GROUP BY IP
  ORDER BY changed DESC

Ändern  Löschen  217.5.97.131 1d2fd8f4d1c0c92cb801fdb359e951da 20020517093050
Ändern  Löschen  217.5.97.133 1d2fd8f4d1c0c92cb801fdb359e951da 20020517093036
Ändern  Löschen  217.5.97.129 1d2fd8f4d1c0c92cb801fdb359e951da 20020517093010
Ändern  Löschen  217.5.97.134 1d2fd8f4d1c0c92cb801fdb359e951da 20020517092948

Ändern  Löschen  195.93.73.7 3090408140be3b7bfeaf6fb601ecd3c8 20020501142455
Ändern  Löschen  195.93.73.10 3090408140be3b7bfeaf6fb601ecd3c8 20020501142333
Ändern  Löschen  195.93.72.7 3090408140be3b7bfeaf6fb601ecd3c8 20020501142144

Ändern  Löschen  195.93.64.7 f77b8f7650d56e21a9d49a275a11a726 20020428112828
Ändern  Löschen  195.93.64.11 f77b8f7650d56e21a9d49a275a11a726 20020428112440
Ändern  Löschen  195.93.65.10 f77b8f7650d56e21a9d49a275a11a726 20020428112323
Ändern  Löschen  195.93.65.7 f77b8f7650d56e21a9d49a275a11a726 20020428112229
Ändern  Löschen  195.93.66.8 f77b8f7650d56e21a9d49a275a11a726 20020428111650

Das war auf den ersten Blick erstmal alles, wobei dei Abfrage nicht wirklich gut ist, aber es sollte wenigstens ein Anhaltspunkt sein.
Das Problem an der Sache ist jetzt folgendes:
Auf dieser Seite zum Beispiel geht es darum, dass die User eine Objektbeschreibung ener Immobilie in zig Formularfelder eingeben müssen. Das dauert meist ein wenig, daher wird die Internetverbindung meist getrennt. Und normalerweise wählt man sich dann beim abschicken mit einer anderen IP an, die SessionID ist aber noch dieselbe, solange man nicht zu lange gewartet hat. Wenn ich jetzt nach der IP prüfe, wäre es vorbei - also alle die letzte haleb Stunde eingegebenen Daten sind unwiederruflich weg, das würde mich dazu veranlassen nie wieder auf diese Seite zu gehen, sondern zur Konkurrenz! Wenn ich mir das so anschaue, könnte ich in dieen Fällen ja (wohl zufällig, oder?) jedesmal die 2 beiden ersten Ziffern der IP behalten, also könnte ich die hja verwenden, aber das ist auf der einen Seite nicht mehr so sicher(aber besser als nix) aber auf der anderen Seite befürchte ich, das man z.B. bei t-online auf einmal eine gänzlich andere IP bekommt, oder? Was könnte man hie machen? Oder viellciht für diese eine Seite diesen Schutz aushebeln? Damit hätte ich aber ien Sicherheitsloch geschaffen. Was hääte ich noch für Optionen?

Nochmal kurz zur Fäkschungssicherheit, ich denke man kann ALLES was man dem Server schickt beeinflussen, wenn man sich da entsprechend auskennt. Mit der IP ist zwar erstmal dumm wenn man die eigene "ändert", denn dann kommen die Antworten woanders an, oder?

Ja, so in etwa.

Gibt es tatsächlich keine Möglichkeit, da irgendeinen bösen proxy oder was weiß ich zwischenzuhängen,

Klar, wenn dieser die IP des Users hat, als der man sich einloggen möchte - und das ist hinreichend unwahrscheinlich.

Das ist genau so wagrscheinlich wie ich an eine PHPSESSID komme, oder? Die wird doch auch überall mitgeloggt, genau wie der referer, oder?

Innerhalb des Session-Timeouts müsste man diverse Umkonnektierungen (ggf. auch hardwaremäßig) durchführen, die im Zweifel einen Zeitrahmen von Tagen haben... :-)
Naja... vielleicht dann doch nicht so einfach :-)

Apache-Logfiles sind so konfigurierbar, dass der Referrer, welcher ja nur ein weiterer HTTP-Header ist, mit drin steht.

Also doch, ich dachte schon das wäre ganz was anderes :-)

Es sind nicht "Deine" Referrer, sondern die des Users. In _meinem_ Logfile taucht die Seite auf, auf der _Du_ warst, _bevor_ Du zu mir gelangt bist.

Du meinst mit _meinen_ also die _meiner Homepage_, OK. Jetzt ist alles klar! Was Refferer sind ist mit bewußt!

Grüße
Andreas

0 57

Passwortseite mit Übergabe an .htacess

artlow
  • html
  1. 0
    Cheatah
    1. 0
      artlow
      1. 0
        Sven Rautenberg
        1. 0

          Passwortseite mit Übergabe an .htaccess

          artlow
          1. 0
            GONZO
            1. 0
              artlow
              1. 0
                Cheatah
                1. 0
                  artlow
                  1. 0
                    Cheatah
                  2. 0
                    Andreas
              2. 0
                Andreas
                1. 0

                  Nachtrag...

                  Andreas
                  1. 0
                    Cheatah
                    1. 0
                      Andreas
                      1. 0
                        Cheatah
                        1. 0
                          Cheatah
                          1. 0
                            Andreas
                            1. 0
                              Cheatah
                        2. 0
                          Peter Thomassen
                2. 0
                  Cheatah
                  1. 0
                    Andreas
                    1. 0
                      Cheatah
                      1. 0
                        Cheatah
                        1. 0
                          Andreas
                          1. 0
                            Cheatah
                            1. 0
                              Andreas
                              1. 0

                                Korrektur!

                                Andreas
                                1. 0
                                  Michael Schröpl
                            2. 0
                              Michael Schröpl
                      2. 0
                        Michael Schröpl
                        1. 0
                          Andreas
                          1. 0
                            Michael Schröpl
                    2. 0
                      Sven Rautenberg
                      1. 0
                        Andreas
                        1. 0
                          Sven Rautenberg
                          1. 0
                            Andreas
                            1. 0
                              Sven Rautenberg
                              1. 0
                                Andreas
                                1. 0
                                  Sven Rautenberg
                                  1. 0
                                    Andreas
                                    1. 0
                                      Sven Rautenberg
                                      1. 0
                                        Michael Schröpl
                                        1. 0
                                          Sven Rautenberg
                                          1. 0
                                            Andreas
                                            1. 0
                                              Sven Rautenberg
                                            2. 0
                                              Michael Schröpl
                                              1. 0

                                                mein letztes Posting zu diesem Thema

                                                Andreas
                                                1. 0
                                                  Sven Rautenberg
                                                  1. 0
                                                    Michael Schröpl
                                          2. 0
                                            Michael Schröpl
                                    2. 0
                                      Michael Schröpl
                      2. 0
                        Michael Schröpl
          2. 0
            GONZO
          3. 0
            Sven Rautenberg
            1. 0
              Andreas
              1. 0
                Cheatah