Hello,

Wenn du als Antwort mehr als "Nichts!" schreiben kannst, wäre das interessant.

Iiih bist Du garstig!

Denn "shtml" steht NICHT für "secure html" - das behaupten nur Betrüger-EMails, die einen zum Übermitteln der eigenen Kreditkartennummer oder irgendwelchen Passworten bewegen wollen.

Na, ist doch gut, das man hier immer wieder was lernen kann. Das bedeutet dann also, dass man für https kein ssl benöitigt?

Dass bei fehlerhafter Beantwortung des Request-Dialogs (3x) mit dem Server "die" keine-Zugangsberechtigung-Seite kommt, kann man im Apachen konfigurieren und für diesen Fehler auch eine andere (eigene) Seite einbinden. Dazu müsste man aber das Manual von apache.org unter dem Stichwort "htaccess" lesen und verstehen.

Falsch. Für das Anzeigen der Loginfehler-Seite ist ganz allein der Browser verantwortlich. Der kann nach 3mal den Dialog aufgeben, wenn der Browserprogrammierer es toll findet, oder auch bis zur Unendlichkeit immer wieder das Dialogfenster anzeigen und nach einem Passwort fragen - die Fehlerseite kommt dann nur, wenn man auf abbrechen klickt.

Nee, nicht falsch aber nicht vollständig. Dass der Browser für die Anzahl der Versuche zuständig ist, ist auch klar. Nun sollte ein üblicher Browser die Fehlerseite aber vom Server mit der ersten 401 übertragen bekommen und eigentlich auch anzeigen, wenn Abbruch oder Fehler auftreten. Dass es immer auch "uneigentlich" gibt, ist auch klar, oder?

Zum anderen habe ich einen Login in php realisiert. Die Logindaten sind in meiner Datenbank gespeichert. Der Status, ob man sich korrekt eingelogt hat, wird mit der Methode POST immer weiter gegeben

Das ist vollkommen unsicher, weil jedermann durch geschicktes Hingucken ins Formular diese Art des Logins erkennen und mißbrauchen kann.

Das ist nicht unsicherer als eine Session. Der Key darf nach dem Logout nur nicht wieder verwendet werden und nicht zu kurz sein. Das ich immer noch das Zweischlüsselverfahren bevorzuge, lassen wir hier mal außen vor, ok?

Die Information, ob ein Account eingeloggt ist oder nicht, gehört nicht in die vom Browser übermittelten Daten!

Es war ja auch so zu verstehen, dass er sich auf dem Server merkt, welcher Schlüssel nun gerade als "logged in" Gültigkeit hat, wie auch immer er das macht. Das war ja noch gar nicht diskutiert worden.

Entweder wird bei jedem Request Username und Passwort übermittelt, oder eine hinreichend lange, zufällige Session-ID.

Genau, die kann er auch "im Post" übergeben, also als Hidden-Field im Formular.

Sessions mit Cookies oder Sessions mit "Auth401", also demselben Verfahren, das auch .htaccess benutzt. Leider musst Du dir diese Sessionvariante in PHP dann noch selber zusammenschrauben.

Gegen die Sessions von PHP ist aber absolut nichts einzuwenden.

Die aber eben nur mit Cookie vernünftig sind. Die Variante mit Trans_SID ist nicht glücklich. Das ist ja fast diejenige, die Thomas hier selber "erfunden" hat.

Und was steht dagegen, eine Client-Identifikation mit "Auth401" durchzuführen und trotzdem eine Session zu führen? Passwort und Loginname reichen als Sessionkennung aus. Man kann sich leider nicht abmelden.

Liebe Grüße aus http://www.braunschweig.de

Tom

Grüße!

Erst einmal ein VORLÄUFIGES DANKESCHÖN an alle, die mir bisher versucht haben meine Fragen zu beantworten. Ich werde aber noch in der einen oder anderen Sache nachhaken. :)

Dass bei fehlerhafter Beantwortung des Request-Dialogs (3x) mit dem Server "die" keine-Zugangsberechtigung-Seite kommt, kann man im Apachen konfigurieren und für diesen Fehler acuh eine andere (eigene) Seite einbinden. Dazu müsste man aber das Manual von apache.org unter dem Stichwort "htaccess" lesen und verstehen.

Falsch. Für das Anzeigen der Loginfehler-Seite ist ganz allein der Browser verantwortlich. Der kann nach 3mal den Dialog aufgeben, wenn der Browserprogrammierer es toll findet, oder auch bis zur Unendlichkeit immer wieder das Dialogfenster anzeigen und nach einem Passwort fragen - die Fehlerseite kommt dann nur, wenn man auf abbrechen klickt.

Das klingt so, als könnte ich die Seite, die letztendlich angezeigt wird, doch im Apache konfigurieren.

Zum anderen habe ich einen Login in php realisiert. Die Logindaten sind in meiner Datenbank gespeichert. Der Status, ob man sich korrekt eingelogt hat, wird mit der Methode POST immer weiter gegeben
(zur Steigerung der Sicherheit habe ich unsinnige Werte versendet, die man nicht errät).

Das ist nicht ganz praktisch, denn was passiert, wenn jemand zwischendurch eine andere Methode verwendet?

Das ist vollkommen unsicher, weil jedermann durch geschicktes Hingucken ins Formular diese Art des Logins erkennen und mißbrauchen kann.

Da die tatsächlichen html Seiten ja serverseitig mit php aufgebaut werden, befindet sich dieses hidden-Feld ja nur auf der Seite und kann von jedermann gefunden werden, wenn man sich tatsächlich erfolgreich eingeloggt hat. Die Werte für "name" und "value" des hidden-Feldes werden zufällig erzeugt und in der Datenbank abgelegt, die Weitergabe dieser Werte entspricht damit im Prinzip der Weitergabe von Login und Passwort (und Überprüfung).

Die Information, ob ein Account eingeloggt ist oder nicht, gehört nicht in die vom Browser übermittelten Daten! Entweder wird bei jedem Request Username und Passwort übermittelt, oder eine hinreichend lange, zufällige Session-ID.

Die hinreichend lange Session-ID würde ich doch auch mit POST also über den Browser übermitteln, oder?

Thomas

Hello,

.htaccess ist ein Kontrollverfahren für den Zugang über HTTP beim Apachen.

Äh, nein. .htaccess ist beim Apache eine Möglichkeit die Serverkonfiguration pro Verzeichnis zu erweitern. Und ja, man kann unter anderem auch HTTP Authentication in der Serverkonfiguration einstellen.

Ja Papa ;-)

Liebe Grüße aus http://www.braunschweig.de

Tom

Halihallo Thomas

Überprüfung, ob user sich eingelogt hat:
    if (!$_POST['login'] || $_POST['login'] != "yes")

if (!isset($_POST['login']) || $_POST['login']!="yes") {...}

true -> weiterleitung zum Login
false -> eingeloggt

NOK. Passwort soll auch überprüft werden, falls 'login' stimmt.

Weitergabe des Logzustands mithilfe eines Formulars und eines versteckten Feldes
    <form name="form" method="POST">
    <input type="hidden" name="login" value="yes">
    </form>

NOK. Wie ich es vermutet habe, das ist katastrophal!
Du musst *umbedingt* login *und* passwort übergeben! - Ansonsten muss
ein Angreifer nur den Login erraten und das ist nicht sehr schwierig.

Fazit: Entweder du übergibst jedesmal login *und* passwort, oder du
überprüfst beim Login auf login/passwort und generierst eine Session
(http://www.php.net/session). Diese wird über eine SessionId
und SessionKey "authentifiziert" und stellt somit eine genauso
sichere Variante, wie login/passwort dar (mit dem zusätzlichen
Mehrwert, dass weder Login noch Passwort nach erfolgreichem Login
übertragen werden müssen).

Mit "unsinnigen Werten" meine ich, daß ich natürlich nicht "login" und "yes" verwendet habe, sondern stattdessen "quark1" und "segrjhdgasf". Die mit POST gesendeten Werte können natürlich ganz einfach manipuliert werden, wenn man aber nicht weiß, was man setzen muß funktioniert das auch nicht.

Aha, also doch gut? - Wichtig ist, dass du mit diesen unsinnigen
Werten einen User eindeutig feststellen kannst und weisst, dass sich
dieser mindestens einmal mit gültigem login/passwort eingeloggt hat.

Weil du so fragst: Wenn dies unsicher ist, kennst du eine sicherere Variante?

Ich persönlich halte eine Authentifizierung über Sessions für
durchaus sicher (gleich sicher, wie der Vorschlag von dir, wenn er
denn sicher umgesetzt ist).

Der Kunde loggt einmal in das System ein, stimmt sein Login/Passwort
wird eine Session eröffnet, welche künftig über SessionId und
SessionKey erkannt wird (und somit implizit auch die
Kundenauthentizität gegeben ist). Falls also eine Session empfangen
wird ($_SESSION), weisst du, dass der Benutzer sich eingeloggt haben
muss (fast! - Siehe unten!). Zumindest der Benutzerlogin muss
natürlich in dieser Session gespeichert werden, sodass du auch
weisst, _wer_ genau sich eingeloggt hat.

Ob dies jedoch sicher ist, hängt immer noch massgeblich von deiner
Programmierung ab, denn es bringt nichts, wenn du z.B. anderswo einen
Sessionmechanismus verwendest und dort Werte aus $_GET oder $_POST
speicherst (dann könnte ein Cracker sich 'login' über diese andere
Seite in die Session schreiben lassen und sich somit Zugang auch ohne
Passwort verschaffen). Es empfiehlt sich also, Login *und* Passwort
in der Session zu speichern, und diese auch bei jedem Zugriff erneut
zu überprüfen! - Ob eine Session existiert, oder ein 'login' darin
geschrieben ist, lässt nicht auf korrekte Authentifizierung eines
Kunden schliessen; dies ist erst mit einer stets erneuten Prüfung
von Login/Passwort (sicher) möglich.

Viele Grüsse

Philipp

Halihallo Tom

Für wie verbreitet hältst Du denn diese Man-in-the-middle Attacken?

Ich persönlich? - Für eine "normale Website"? - Sehr gering, würde
ich behaupten. Aber dies hat absolut keinen Einfluss auf die
Umsetzung der Sicherheitaspekte, denn da geht es schlicht darum,
alles nur erdenkliche auszuschliessen, egal wie unwahrscheinlich
es ist. Obscurity is not security, als (zugegebenermassen etwas
unpassendes => als Analogie zu verstehen) Stichwort. Oder besser:
Die Sicherheit einer Applikation ist definiert durch die unsicherste
Umsetzung innerhalb.

Ich für meinen Teil muss jedoch eingestehen, dass ich mit einer
nicht SSL-Variante durchaus auch glücklich bin und somit man-in-the-
middle Attacken damit theoretisch ermögliche.

Ist es bei den "normalen" Webseiten nicht wahrscheinlicher, dass jemand Formulare manipuliert, Passwörter errät oder sonstige Zugangslücken als Client sucht?

Hier bin ich absolut deiner Meinung! - Derartiges *muss* man mit
aller Kraft versuchen zu verhindern, denn genau dies ist der
Ansatzpunkt Nr. 1 für sowohl Cracker, wie auch für Script-Kiddies. Da
die Zielgruppe für derartige Schwächen sehr gross ist, sind sie nach
bestem Wissen und Gewissen zu unterbinden. Dies hat für mich
persönlich absolut Priorität.

Ich gehe sogar soweit und sage: SSL ist mehr als Kundenbefriedigung
zu sehen[1] und in vielen Fällen vielleicht gar nicht nötig (nice to
have), denn eines ist hoffentlich jedem klar: SSL ist nur so sicher,
wie das Programm, dessen Output verschlüsselt wird. Die Güte der
Sicherheit folgt dem Prinzip des schwächsten Gliedes in einer Kette.
Ist das Programm schlecht, wird die Kette genau da brechen, egal ob
SSL verwendet wird oder nicht... Es ist klar, dass keine
Kreditkartennummern o.ä. ohne SSL übertragen werden sollen, aber
am Ende ist doch auch immer noch die Sicherheit der Applikation
entscheidend.

[1] Der Kunde (egal ob Besucher oder Auftraggeber für Applikation)
    impliziert mit diesem Schlüsselsymbol rechts unten im
    Browserfenster einfach Sicherheit, obwohl dies ein grober
    Trugschluss ist. Sicherheit entsteht auf der Applikations- und
    Systemebene und schliesst einfach mit einer sicheren Verbindung
    ab. Aber eben: Was ist wohl das schwächste Element in der Kette?
    Ich wollte mit dieser provokanten Aussage nicht implizieren,
    dass SSL gar nicht benutzt werden soll, da es "sowieso nichts
    bringt". Keinesfalls! - Ich will damit Leute sensibilisieren,
    die eine sichere Verbindung für das A und O halten... Hauptsache
    goldiger Schlüssel ist sichtbar, was?... pah!

Fazit: SSL benutzen! - Aber dies bei der Programmierung getrost
vergessen, um sich nicht in den starken Händen von SSL geborgen zu
fühlen und die harte Realität zu vergessen.

Viele Grüsse

Philipp

Hallo,

Meiner Meinung nach sollte man immer eines von beidem einsetzen, wenn die Zugangsdaten irgendeinen Wert besitzen (also nicht nur verwendet werden um jedem User seine eigene Ansicht zu präsentieren). Was man einsetzt hängt dann vom Wert der geschützten Daten ab: Wenn es nur darum geht unauthorisierte Zugriffe abzuwehren, die dabei anfallenden Daten aber unkritisch sind - wie etwa hier im Forum bei der Administration: die Daten kann man sich auch regulär im Forum ansehen, aber es wäre evt. untoll, wenn einfach jemand Administrationskommandos absetzen könnte - dann ist Digest Access Authentication über unverschlüsseltes HTTP angebracht. Wenn darüberhinaus die Daten geschützt werden müssen, halt SSL mit Basic Access Authentication.

Vielleicht bin ich einfach zu ungeduldig, aber ich kann einfach nicht finden, wie ich Digest Access Authentication umsetze. Soweit ich weiß funktioniert Basic Access Authentication mit den zwei Dateien .htaccess und .htpasswd. Ist das bei der verschlüsselten Authentifizierung genauso einfach?

Thomas