nicht angemeldet
Vor Zugriff wichtiger daten schützen
0 0 0 
Der Martin
Vor Zugriff wichtiger daten schützen
Hallo,
da es nicht anders möglich ist, muss ich einen Teil mir persönlich wichtige Daten im Web abrufbar hinterlegen.
Dazu habe ich mir überlegt, einen Login mittels Sessions zu basteln.
(benutzername / Passwort) Diese PHP-Datei liegt im Hauptverzeichnis.
Bei erfolgreichem Login wird der Benutzer auf ein mit .htaccess geschütztes Verzeichnis weitergeleitet.
die index.php in diesem Unterverzeichnis prüft mittels der Session, ob der Bennutzer korrekt legitimiert ist, ausserdem soll in der htaccess ebenfalls der Benutzername und das Passwort geprüft werden. Das Passwort allerdings nur per Vergleich und mit Blowfish verschlüsselt (nicht im Klartext)
Da ich öfters an verschiedenen Rechnern auf die Daten zugreifen werde, habe ich mir ausserdem überlegt, dass ich bei jedem Login eine TAN- Nummer (ähnlich dem Onlinebanking vieler Banken) beim Login eingeben muss. Somit ist ein ausspähen des Passworts zwar möglich (z.B. per Keylogger), jedoch fehlt die TAN um sich einloggen zu können.
Was haltet ihr davon?
Grüße
cr
-
Hallo,
da es nicht anders möglich ist, muss ich einen Teil mir persönlich wichtige Daten im Web abrufbar hinterlegen.
Schlecht.
Was haltet ihr davon?
Nix.
Hotte
--
Wenn der Kommentar nicht zum Code passt, kann auch der Code falsch sein.-
hallo,
Was haltet ihr davon?
Nix.
kannst du mir deine gedankengänge zu dieser entscheidung noch etwas besser verdeutlichen, damit ich ansätze zur verbesserung erkennen kann?
danke
-
hi,
kannst du mir deine gedankengänge zu dieser entscheidung noch etwas besser verdeutlichen, damit ich ansätze zur verbesserung erkennen kann?
Gerne: Persönliche wichtige Daten gehören nicht auf Maschinen in einer nichtvertrauenswürdigen Umgebung. Nicht vertrauenswürdig wirds ab der TAE-Dose. Ich mach maln traceroute zu meinem Webserver:
Routenverfolgung zu rolfrost.de [87.237.121.137] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms 192.168.0.1
2 49 ms 49 ms 47 ms 217.0.116.218
3 46 ms 47 ms 47 ms 217.0.77.146
4 103 ms 51 ms 52 ms f-ea5.F.DE.net.DTAG.DE [62.154.16.165]
5 60 ms 107 ms 78 ms te-4-4.car2.Frankfurt1.Level3.net [4.68.110.253]
6 60 ms 60 ms 60 ms ae-3-89.edge3.Frankfurt1.Level3.net [4.68.23.139]
7 54 ms 53 ms 52 ms 212.162.19.82
8 55 ms 51 ms 53 ms 067-097-244-077.ip-addr.inexio.net [77.244.97.67]
9 62 ms 59 ms 54 ms core1.SLS-HSRP.6831.netbuild.net [87.237.124.213]
10 59 ms 57 ms 55 ms host-137-121-237-87.netrange-121.netbuild.net [87.237.121.137]Den ersten Hop kenne ich noch, das ist mein Router, dem kann ich evntl. noch vertrauen. Dem Rest nicht, ich weiß nicht, was das für Maschinen sind und wer die betreibt.
Hotte
--
Wenn der Kommentar nicht zum Code passt, kann auch der Code falsch sein.-
Gerne: Persönliche wichtige Daten gehören nicht auf Maschinen in einer nichtvertrauenswürdigen Umgebung. Nicht vertrauenswürdig wirds ab der TAE-Dose. Ich mach maln traceroute zu meinem Webserver:
danke, war doch sehr eindeutig und einleuchtend ;-) hab ich nur anfangs nicht direkt erkannt...
-
-
-
-
Hi,
Was haltet ihr davon?
NICHTS, zumindest solange mir nicht genau klar ist um was es hier wirklich geht.
Wie brisant sind deine Daten wirklich? (regDaten von Webseiten oder Pincode deiner Bankkarte, oder....)
Dazu habe ich mir überlegt, einen Login mittels Sessions zu basteln.
(benutzername / Passwort) Diese PHP-Datei liegt im Hauptverzeichnis.Ein normaler Anfang....
Bei erfolgreichem Login wird der Benutzer auf ein mit .htaccess geschütztes Verzeichnis weitergeleitet.
»»
Also nochmal neues User/Password?
die index.php in diesem Unterverzeichnis prüft mittels der Session, ob der Bennutzer korrekt legitimiert ist, ausserdem soll in der htaccess ebenfalls der Benutzername und das Passwort geprüft werden. Das Passwort allerdings nur per Vergleich und mit Blowfish verschlüsselt (nicht im Klartext)
Also eher doch nur ein User/Password, wo ist dann der Sinn?
Was genau erhoffst du dir durch die Verschlüsselung?Da ich öfters an verschiedenen Rechnern auf die Daten zugreifen werde, habe ich mir ausserdem überlegt, dass ich bei jedem Login eine TAN- Nummer (ähnlich dem Onlinebanking vieler Banken) beim Login eingeben muss. Somit ist ein ausspähen des Passworts zwar möglich (z.B. per Keylogger), jedoch fehlt die TAN um sich einloggen zu können.
Ja mit der Tan ist zwar grundsätzlich keine schlechte Idee, allerdings auch keine 100% Lösung, zumal auf fremden Rechnern.
Grundsätzlich:
Es gehören keine "wirklich" brisanten Daten ins Netz. Aber wenn es doch sein soll, dann zumindest in einer anderen Form, nämlich nicht Priorität auf das login zu legen sondern auf eine "echte" Verschlüsselung der Daten, die dann widerum aber auch möglichst nicht in einer fremden Umgebung in Klartext dargestellt werden sollten.
Hinzu kommt, und da findest du auch einige Einträge hier im Forum von gehackten Seiten, auch bei grossen Anbietern, also nochmal im Moment halte ich dein Vorhaben für Russisch Roulette. Man möge mich korrigieren wenn ich falsch liege.
Hans
-
Hi,
hi
Wie brisant sind deine Daten wirklich? (regDaten von Webseiten oder Pincode deiner Bankkarte, oder....)
nene also dumm bin ich auch nicht, es sind keine Zugangsdaten, Bankdaten oder ähnl...es handelt sich eher um private sachen, mit denen warscheinlich keiner was anfangen kann...also sie es mal wie wenn jemand dein tagebuch nicht lesen soll...aber es ist kein tagebuch, sondern wie gesagt daten die ich hin und wieder überall mal brauch...
Dazu habe ich mir überlegt, einen Login mittels Sessions zu basteln.
(benutzername / Passwort) Diese PHP-Datei liegt im Hauptverzeichnis.Ein normaler Anfang....
ja...das ganze dann ssl verschlüsselt aufgerufen...
Bei erfolgreichem Login wird der Benutzer auf ein mit .htaccess geschütztes Verzeichnis weitergeleitet.
»»Also nochmal neues User/Password?
ne die htaccess habe ich lediglich dazu, dass die eigentliche index.php im unterverzeichnis nicht auf schwachsstellen gehackt werden kann. denn man muss erst an der htaccess "vorbei"...
Ja mit der Tan ist zwar grundsätzlich keine schlechte Idee, allerdings auch keine 100% Lösung, zumal auf fremden Rechnern.
also das mit den 100% habe ich bereits aufgegeben...jedoch ist diese domain auch keine allerweltsdomain...somit liegt das interesse auch weit unten...eines hackers versteht sich
Grundsätzlich:
Es gehören keine "wirklich" brisanten Daten ins Netz. Aber wenn es doch sein soll, dann zumindest in einer anderen Form, ...
die ssl verschlüsselung oder waas meinst du?
Hinzu kommt, und da findest du auch einige Einträge hier im Forum von gehackten Seiten, auch bei grossen Anbietern, also nochmal im Moment halte ich dein Vorhaben für Russisch Roulette. Man möge mich korrigieren wenn ich falsch liege.
hä was?
grüße
-
hi $name,
also das mit den 100% habe ich bereits aufgegeben...jedoch ist diese domain auch keine allerweltsdomain...somit liegt das interesse auch weit unten...eines hackers versteht sich
berühmte letzte worte...
es geht den hackern nicht unbedingt um die domain und ob dort irgendwelche brauchbaren daten sind, sondern um den server. dort werden dann zb. phishing seiten angelegt, der server wird zum spam versenden mißbraucht, es werden schad scripte abgelegt die dann benutzt werden um andere server zu hacken, den besuchern werden würmer/trojaner untergejubelt - u name it, u get it.
gruss
shadow--
Vor dem Parser und auf hoher See sind wir allein in Gottes Hand-
hi $name,
hi
berühmte letzte worte..
wie waren deine ersten worte, wenn das die letzten dazu sind?
grüße
-
hi $name,
berühmte letzte worte..
wie waren deine ersten worte, wenn das die letzten dazu sind?
die ersten könnten gewesen sein: was wollen hacker von meiner popeligen domain?
aber du verwechselst
berühmte letzte worte..
mit
berühmte letzte worte:
gruss
shadow--
Vor dem Parser und auf hoher See sind wir allein in Gottes Hand
-
-
-
-
-
Hi,
da es nicht anders möglich ist, muss ich einen Teil mir persönlich wichtige Daten im Web abrufbar hinterlegen.
ganz schlechte Idee.
Was haltet ihr davon?
Abstand[tm].
Ich kann mich meinen Vorrednern nur eindringlich anschließen: Vertrauliche persönliche Daten haben im Internet nix verloren. Wozu gibt es USB-Sticks? Die sind so klein, dass sie in die kleinste Tasche passen, notfalls sogar an den Schlüsselbund. Die kann man also wirklich überall hin mitnehmen, und sie bieten mittlerweile mehrere GB Speicherplatz.So long,
Martin--
Fettflecke werden wieder wie neu, wenn man sie regelmäßig mit etwas Butter einschmiert.