Attachment als base64 encoded wieder dekodieren? – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self?srt=yes Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 07:04:06 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774871?srt=yes#m1774871 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774871?srt=yes#m1774871 <p>Hallo,</p> <p>mein PHP-Script bekommt einen Anhang als Base64 encoded zugesendet. In meinem Tests ist es eine einfache TXT-Datei mit dem Inhalt "Dies ist ein Test". Laut base64.guru ist der Base64-String fehlerfrei.</p> <p>Kann ich mit PHP a) aus dem Base64-String wieder eine Datei erstellen? b) ohne Speichern auf den Inhalt der TXT-Datei zugreifen (z.B. um diesen zu durchsuchen)?</p> <p>(Der Anhang wird von einem Notes-Server über DXL Export in Base64 umgewandelt und dann an das Script übertragen)</p> <p>Alle meine bisherigen Versuche sind fehlgeschlagen, es kommt einfach nichts brauchbares zurück. Ein <code>base64_decode($text);</code> reicht sicher nicht alleine, da es ja nicht nur der Inhalt, sondern auch die Datei-Informationen sind. Aber auch ein</p> <pre><code class="block">$ori = base64_decode($test); $file = fopen('/tmp/test.txt', 'w'); fwrite($file, $ori); fclose($file); </code></pre> <p>erzeugt nur Müll in der Datei. Dasselbe bei <code>file_put_contents('/tmp/test.txt'm, $ori);</code></p> <p>Hier der Base64-String:</p> <pre><code class="block">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 </code></pre> <p>Habt ihr noch eine Idee?</p> <p>LG Klaus</p> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 07:12:34 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774872?srt=yes#m1774872 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774872?srt=yes#m1774872 <p>Hallo Klaus,</p> <blockquote> <p>mein PHP-Script bekommt einen Anhang als Base64 encoded zugesendet. In meinem Tests ist es eine einfache TXT-Datei mit dem Inhalt "Dies ist ein Test". Laut base64.guru ist der Base64-String fehlerfrei.</p> </blockquote> <p>aber anscheinend ist bei der Erzeugung des base64-Strings trotzdem irgendwas schiefgegangen.</p> <blockquote> <p>Kann ich mit PHP a) aus dem Base64-String wieder eine Datei erstellen? b) ohne Speichern auf den Inhalt der TXT-Datei zugreifen (z.B. um diesen zu durchsuchen)?</p> </blockquote> <p>Zweimal ja.</p> <blockquote> <p>(Der Anhang wird von einem Notes-Server über DXL Export in Base64 umgewandelt und dann an das Script übertragen)</p> </blockquote> <p>Aha. Dann vermute ich mal ganz stark, dass die Originaldaten eben <em>nicht</em> Plain Text sind, sondern ein Lotus-internes Format.</p> <blockquote> <p>Ein <code>base64_decode($text);</code> reicht sicher nicht alleine, da es ja nicht nur der Inhalt, sondern auch die Datei-Informationen sind.</p> </blockquote> <p>Nein, normalerweise nicht. Bei einem e-Mail-Anhang stehen die Meta-Daten wie Dateiname, MIME-Typ und Größe in den Headerzeilen des jeweiligen Blocks. Die base64-Daten stellen ausschließlich den Dateiinhalt dar.</p> <blockquote> <pre><code class="block">$ori = base64_decode($test); $file = fopen('/tmp/test.txt', 'w'); fwrite($file, $ori); fclose($file); </code></pre> <p>erzeugt nur Müll in der Datei.</p> </blockquote> <p>Kann ich bestätigen.</p> <blockquote> <pre><code class="block">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 </code></pre> </blockquote> <p>Das ist irgendein für mich nicht erkennbarer Binärmüll.</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Home is where my beer is. </div> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 09:14:05 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774878?srt=yes#m1774878 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774878?srt=yes#m1774878 <p>Hallo Klaus,</p> <p>der einfachste Versuch wäre für Dich, die Maildatei vom Skript als *.txt-Datei abspeichern zu lassen und sie dann erst einmal mit Notepad++ anzusehen.</p> <p>Du kannst dann sehen, ob sie überhaupt den MIME-Regeln entspricht und auch mal hier posten, zur Not als Screenshot. Kann ja nicht lang sein.</p> <p>Generell musst Du für die Abtrennung des Attachements die Boundaries suchen.</p> <p>Das können wir Dir aber leichter erklären, wenn Du erst einmal die Testdatei gepostest hast.</p> <p>LG<br> localhorst</p> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 09:14:10 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774879?srt=yes#m1774879 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774879?srt=yes#m1774879 <p>Hallo Martin,</p> <blockquote> <p>Binärmüll</p> </blockquote> <p>Nicht ganz, kurz vor Ende steht NEAD6828_5356. Aber das kann Zufall sein.</p> <p>DXL sollte dagegen ein XML Format sein. Entweder ist also das Base64-Fragment unvollständig, oder Notes hat das bekannte Problem jeder Software: Sie tut genau das, was man ihr sagt. Und nicht das, was man will.</p> <blockquote> <p>Laut base64.guru ist der Base64-String fehlerfrei.</p> </blockquote> <p>Klaus, Base64 ist eine Technik, um beliebige Bytefolgen "drei in vier" zu verschlüsseln. D.h. man nimmt die 24 Bits von jeweils 3 Bytes und teilt sie in vier Gruppen zu je 6 Bit auf (was 64 mögliche Werte ergibt). Jedem dieser Werte wird ein ASCII-Zeichen zugeordnet. Verschlüsselt man Müll, kommt immer noch ein korrekter Base64-String heraus. Aber leider nur korrekt verschlüsselter Müll.</p> <p>Das Problem ist vor der base64-Verschlüsselung.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 09:20:25 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774880?srt=yes#m1774880 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774880?srt=yes#m1774880 <p>Hallo Rolf</p> <h3>Binärmüll</h3><blockquote> <p>Verschlüsselt man Müll, kommt immer noch ein korrekter Base64-String heraus. Aber leider nur korrekt verschlüsselter Müll.</p> </blockquote> <p>YMMD</p> <p>Eine ideale Methode, um die Rechner der NSA zum Glühen zu bringen. An <em>der</em> Verschlüsselung rechnen die sich einen Wolf.</p> <p>Grinsende Grüße<br> localhorst</p> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 10:59:31 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774883?srt=yes#m1774883 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774883?srt=yes#m1774883 <p>Lieber Rolf,</p> <blockquote> <p>Klaus, Base64 ist eine Technik, um beliebige Bytefolgen "drei in vier" zu verschlüsseln.</p> </blockquote> <p>lass' mich da ein bisserl klugscheißen: Um eine Verschlüsselung handelt es sich erst, wenn ein Geheimnis (aka Passwort, Passphrase etc.) zum Einsatz kommt, ohne dieses der Vorgang nicht umkehrbar ist. Bei Base64 handelt es sich "lediglich" um eine <em>Kodierung</em>.</p> <p>Liebe Grüße</p> <p>Felix Riesterer</p> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 11:06:50 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774887?srt=yes#m1774887 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774887?srt=yes#m1774887 <p>Hallo Felix,</p> <blockquote> <blockquote> <p>Klaus, Base64 ist eine Technik, um beliebige Bytefolgen "drei in vier" zu verschlüsseln.</p> </blockquote> <p>lass' mich da ein bisserl klugscheißen: Um eine Verschlüsselung handelt es sich erst, wenn ein Geheimnis (aka Passwort, Passphrase etc.) zum Einsatz kommt, ohne dieses der Vorgang nicht umkehrbar ist. Bei Base64 handelt es sich "lediglich" um eine <em>Kodierung</em>.</p> </blockquote> <p>das ist völlig korrekt. Aber zumindest umgangssprachlich werden die Begriffe <em>verschlüsseln</em>, <em>codieren</em><sup class="footnote-ref"><a href="#fn1" id="fnref1">[1]</a></sup>, seltener auch <em>chiffrieren</em> quasi synonym verwendet.<br> Solange der Kontext eindeutig ist, muss man da IMO nicht päpstlicher sein als der Papst.</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Home is where my beer is. </div> <hr class="footnotes-sep"> <section class="footnotes"> <ol class="footnotes-list"> <li id="fn1" class="footnote-item"><p>mit <strong>k</strong> sieht's irgendwie caputt aus, finde ich <a href="#fnref1" class="footnote-backref">↩︎</a></p> </li> </ol> </section> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 11:23:09 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774888?srt=yes#m1774888 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774888?srt=yes#m1774888 <p>Hallo Martin,</p> <p>päpstlicher als der Papst muss man nicht sein, aber sollte man gleich ungetaufte Zelebranten an den Altar schicken? <ironie>Oder gar Frauen?<sup class="footnote-ref"><a href="#fn1" id="fnref1">[1]</a></sup></ironie></p> <p>[CK]odierung und Verschlüsselung sind schon von sehr unterschiedlicher Qualität und ich finde, dass ich da zu Recht korrigiert wurde. Eine Verschlüsselung braucht einen Schlüssel. Bei Base64 gips keinen.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> <hr class="footnotes-sep"> <section class="footnotes"> <ol class="footnotes-list"> <li id="fn1" class="footnote-item"><p>Was aus Sicht einiger Kurienstarrköpfe vermutlich schlimmer ist <a href="#fnref1" class="footnote-backref">↩︎</a></p> </li> </ol> </section> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 11:49:04 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774892?srt=yes#m1774892 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774892?srt=yes#m1774892 <p>@@Rolf B</p> <blockquote> <p>Eine Verschlüsselung braucht einen Schlüssel. Bei Base64 gips keinen.</p> </blockquote> <p>Willst du damit sagen, <a href="https://de.wikipedia.org/wiki/ROT13" rel="nofollow noopener noreferrer">ROT13</a> wäre keine Verschlüsselung? </p> <p> LLAP</p> <div class="signature">-- <br> <em>„Sag mir, wie Du Deine Maske trägst, und ich sage Dir, ob Du ein Idiot bist.“</em> —@Ann_Waeltin </div> Gips Wed, 26 Aug 20 12:01:49 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774893?srt=yes#m1774893 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774893?srt=yes#m1774893 <p>Hallo,</p> <blockquote> <p>Bei Base64 gips keinen.</p> </blockquote> <p>Gips gips inner Gipsfabrik.<br> Wenn's da nix gips, dann gips kein Gips.</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Home is where my beer is. </div> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 12:16:16 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774894?srt=yes#m1774894 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774894?srt=yes#m1774894 <blockquote> <p>Hallo Martin,</p> <p>päpstlicher als der Papst muss man nicht sein, aber sollte man gleich ungetaufte Zelebranten an den Altar schicken? <ironie>Oder gar Frauen?<sup class="footnote-ref"><a href="#fn1" id="fnref1">[1]</a></sup></ironie></p> <p>[CK]odierung und Verschlüsselung sind schon von sehr unterschiedlicher Qualität und ich finde, dass ich da zu Recht korrigiert wurde. Eine Verschlüsselung braucht einen Schlüssel. Bei Base64 gips keinen.</p> </blockquote> <p>Das kommt auf die Verschlüsselung an. Ich würde einen One(way|time)hash auch als Ver<strong>schlüsselung</strong> bezeichnen mögen, obwohl kein <strong>Schlüssel</strong> benötigt wird.</p> <p>Aber für einen Laien (d|w|m) sieht ein Base64-Text auch wie verschlüsselt aus.</p> <p>LG<br> localhorst</p> <hr class="footnotes-sep"> <section class="footnotes"> <ol class="footnotes-list"> <li id="fn1" class="footnote-item"><p>Was aus Sicht einiger Kurienstarrköpfe vermutlich schlimmer ist <a href="#fnref1" class="footnote-backref">↩︎</a></p> </li> </ol> </section> Attachment als base64 encoded wieder dekodieren? Tue, 01 Sep 20 11:24:27 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775128?srt=yes#m1775128 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775128?srt=yes#m1775128 <blockquote> <p>Eine Verschlüsselung braucht einen Schlüssel. Bei Base64 gips keinen.</p> </blockquote> <p>Meinten Sie <a href="https://www.etsy.com/de/market/gips_schl%C3%BCssel" rel="nofollow noopener noreferrer">Gips schlüssel</a> ?</p> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 12:46:38 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774897?srt=yes#m1774897 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774897?srt=yes#m1774897 <blockquote> <blockquote> <p>Eine Verschlüsselung braucht einen Schlüssel. Bei Base64 gips keinen.</p> </blockquote> <p>Willst du damit sagen, <a href="https://de.wikipedia.org/wiki/ROT13" rel="nofollow noopener noreferrer">ROT13</a> wäre keine Verschlüsselung? </p> </blockquote> <p>ROT13 ist ein Witz. Viel zu simpel. Ich nehme immer ROT26 oder doppeltes ROT13.</p> <div class="signature">-- <br> Stur lächeln und winken, Männer! </div> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 14:22:41 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774909?srt=yes#m1774909 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774909?srt=yes#m1774909 <p>Hallo Gunnar,</p> <p>das muss man in der 1. Ableitung betrachten<sup class="footnote-ref"><a href="#fn1" id="fnref1">[1]</a></sup>.</p> <p>Die Verschlüsselung heißt ROT (oder Cäsar). 13 ist der Schlüssel.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> <hr class="footnotes-sep"> <section class="footnotes"> <ol class="footnotes-list"> <li id="fn1" class="footnote-item"><p>also differenziert. <a href="#fnref1" class="footnote-backref">↩︎</a></p> </li> </ol> </section> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 14:30:30 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774910?srt=yes#m1774910 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774910?srt=yes#m1774910 <p>Hallo localhorst,</p> <p>erklär mir doch grad, was Du unter One(way|time)hash verstehst.</p> <p>Ich habe das fast mit One-Time Pad verwechselt. Und meine Google-Suche findet jede Menge akademisches Zeug, das mir jetzt zu lang zum Lesen ist (und von dem ich nicht weiß ob Du es meinst).</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 15:23:13 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774918?srt=yes#m1774918 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774918?srt=yes#m1774918 <p>Hallo Rolf,</p> <blockquote> <p>erklär mir doch grad, was Du unter One(way|time)hash verstehst.</p> </blockquote> <blockquote> <p>Ich habe das fast mit One-Time Pad verwechselt. Und meine Google-Suche findet jede Menge akademisches Zeug, das mir jetzt zu lang zum Lesen ist (und von dem ich nicht weiß ob Du es meinst).</p> </blockquote> <p>Das ging mir ähnlich, als ich nach dem richtigen™ Ausdruck für <strong>nur forwärts</strong> gesucht habe. Schließlich kann man <code>md5</code> nicht wieder "entschlüsseln". Dass es nur eine statistische "Sicherheit" hat, ist ohnehin klar ud dass es inzwischen auch in Frage gestellt wird (Rainbow Tables u. ä.), ist mif auch klar.</p> <p>Also, wie lauten die etablierten Fachbegriffe für diese Art der (impliziten) Verschlüsselung, Prüfnummernbildung, ...?</p> <p>LG<br> localhorst</p> Attachment als base64 encoded wieder dekodieren? Wed, 26 Aug 20 15:26:12 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774919?srt=yes#m1774919 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774919?srt=yes#m1774919 <p>Hallo localhorst,</p> <p>jetzt bin ich wieder dabei. Onewayhash ist schon richtig dafür. Oder Falltürfunktion.</p> <p>Ein brauchbarer Hash Algorithmus für Passwörter hat serverseitig einen Schlüssel (seed), damit ein Dieb nichts mit der geklauten Datenbank anfangen kann. Und Salz im Passwort, damit die Rainbow-Tables nicht helfen. Also ja, ist eine Verschlüsselung ohne Rückweg.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> Attachment als base64 encoded wieder dekodieren? Migration? Wed, 26 Aug 20 17:49:01 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774930?srt=yes#m1774930 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774930?srt=yes#m1774930 <p>Hallo Rolf,</p> <blockquote> <p>jetzt bin ich wieder dabei. Onewayhash ist schon richtig dafür. Oder Falltürfunktion.</p> <p>Ein brauchbarer Hash Algorithmus für Passwörter hat serverseitig einen Schlüssel (seed), damit ein Dieb nichts mit der geklauten Datenbank anfangen kann.</p> </blockquote> <p>Das irritiert <em>mich</em> jetzt allerdings!</p> <p>Hieße das etwa, dass eine Portierung meines Webs auf einen anderen Host bzw. andere Server dazu führen würde, dass kein Login mehr funktioniert?</p> <p><strong>Soll heißen:</strong><br> Führt die <code>md5()-Funktion</code> üblicherweise auf jedem Host (ähnlicher Version) zum selben Ergebnis, oder kann ich die <code>login-table</code> nicht einfach von einem Host zum anderen übertragen?</p> <p>Irritierte Grüße<br> localhorst</p> Attachment als base64 encoded wieder dekodieren? Thu, 27 Aug 20 10:20:27 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774947?srt=yes#m1774947 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774947?srt=yes#m1774947 <blockquote> <p>Ein brauchbarer Hash Algorithmus für Passwörter hat serverseitig einen Schlüssel (seed), damit ein Dieb nichts mit der geklauten Datenbank anfangen kann. Und Salz im Passwort, damit die Rainbow-Tables nicht helfen. Also ja, ist eine Verschlüsselung ohne Rückweg.</p> </blockquote> <p>Naja... das ist ein wenig zu einfach.</p> <p>Ich versuchs mal zu erklären:</p> <p><strong>Entropie</strong>: Im hier betrachteten Sinn ist die eine Folge von Bytes, die durch „zufällige“ Ereignisse gebildet wird. In Frage kommt hierfür alles, was auf einem Rechner oder Server messbar aber schwer vorhersehbar ist ist. z.B. Netzwerkverkehr, Datenverkehr über Busse (Beispielsweise: USB - Tastendrücke, Mausbewegungen) Temperaturen von CPU-Kernen, Taktfrequenzen derselben, Rotationsgechwindigkeiten von Ventilatoren, …) Man nennt das auch „environmental noise“ also „Umgebungsrauschen“ welches quasi aufgenommen und in einem <a href="https://de.wikipedia.org/wiki/First_In_%E2%80%93_First_Out" rel="nofollow noopener noreferrer">FIFO</a> entnehmbar gespeichert wird.</p> <p>Diese Entropie ist endlich und auf Grund des Fehlens von Tastatur und Maus auf Servern dort begrenzter als auf Desktops.</p> <p><strong>Zufallsfunktion:</strong> Im hier betrachteten Sinn eine Funktion, die bei jedem Aufruf eine andere Folge von Bytes zurückgibt. Gängige Zufallsfunktionen nutzen hierbei die Entropie um „echten“ Zufall zu produzieren. Ist die gespeicherte Entropie verbraucht gibt es zwei Verfahrensweise: warten oder Übergang zu einer rein mathematischen Funktion, bei welcher irgendwann die Folge der „zufälligen“ Werte von vorn beginnt, wodurch der gelieferte Wert vorhersagbar wird.</p> <p><strong>Lesestoff liefert ein <code>man 4 random</code> auf Linux-Systemen.</strong></p> <p><strong>Seed:</strong> Um die Vorhersehbarkeit der Ergebnisse des mathematischen Quasizufalls zu vermindern wird der Zufallsfunktion quasi eine Anzahl von Nutzungen vorgemacht. Der Seed ist also ein nicht übergebener, sondern individuell festgelegter wert, der in der Zufallsfunktion genutzt wird.</p> <p><strong>Lesestoff liefert ein <code>man 2 getrandom</code> auf Linux-Systemen.</strong></p> <p><strong>Salt:</strong> Mittels obiger Zufallsfunktionen gebildete Bytes, die einem „Text“ vorangestellt werden, bevor ein Hashalgorythmus auf den mit dem Salt vereinten Text angewendet wird. Die Länge wird definiert.</p> <p><strong>Hashalgorithmus:</strong> „Abbildung, die eine große Eingabemenge (die Schlüssel) auf eine kleinere Zielmenge (die Hashwerte) abbildet. … Die Eingabemenge kann Elemente unterschiedlicher Längen enthalten, die Elemente der Zielmenge haben dagegen meist eine feste Länge.“ <a href="https://de.wikipedia.org/wiki/Hashfunktion" rel="nofollow noopener noreferrer">Wikipedia</a></p> <p><strong>Rainbow-Tables:</strong> Da gängige Passwörter eine begrenzte Länge haben und Massenspeicher sehr günstig ist, ist es inzwischen sogar Privatpersonen möglich zumindest bei schwachen Hashalgorithmen wie MD5 mit kurzer Ausgabemenge (128 Bit) möglich für jeden denkbaren Hashwert eine Eingabe zu speichern und diese abzufragen. Würden Passwörter also mit MD5 gehasht, so kann ein Angreifer aus dem Hash ein gültiges Passwort ermitteln. Das muss nicht das ursprüngliche sein.</p> <p>Aktuelle <strong>Passwort-Hash-Funktionen</strong> gehen wie folgt vor:</p> <ol> <li> <p><strong>„Verschlüsseln“:</strong> Es wird der möglichst zufällige Salt ermittelt. Das Passwort wird mit dem Salt verknüpft und dann beides zusammen mit einem möglichst starken Hashalgorithmus gehasht. Danach wird das Resultat wieder mit dem Salt verknüpft und erneut gehascht. Dieser Vorgang wird in einer endlichen Anzahl wiederholt. (Loops) Als Resultat wird dann ein Hinweis auf den Hashalgorithmus, die Anzahl der Loops, der Salt und das letze Resultat der Anwendung des Hashalgorithmus gespeichert. In PHP: <a href="https://www.php.net/manual/de/function.password-hash.php" rel="nofollow noopener noreferrer">password_hash()</a></p> </li> <li> <p>Ein <strong>„Entschlüsseln“</strong> findet nicht statt: Aus der Datenbasis wird das „verschlüsselte“ Passwort mit den Informationen: Salt, Hashalgorithmus und Loops geholt. Das eingebenene Passwort ird jetzt wie unter 1. mit diesen Informationen erneut verschlüsselt und dann das Resultat verglichen. In PHP: <a href="https://www.php.net/manual/de/function.password-verify.php" rel="nofollow noopener noreferrer">password_verify()</a></p> </li> <li> <p><strong>„Updates“</strong>: Findet die Passwortfunktion nach einem Update der Programmiersprache anhand der Kennzeichnung in dem Resultat des früheren Verschlüsselns heraus, dass ein unsichereres Verfahren als möglich angewendet wurde (in PHP: <a href="https://www.php.net/manual/de/function.password-needs-rehash.php" rel="nofollow noopener noreferrer">password_needs_rehash()</a> ), dann kann der Programmierer vorsehen, dass nach positiver Verifizierung das also bestätigte und bekannte Passwort mit dem sichereren Verfahren erneut „verschlüsselt“ und gespeichert wird - und das ohne dass der Benutzer hiermit behelligt wird.</p> </li> </ol> Attachment als base64 encoded wieder dekodieren? Migration? Wed, 26 Aug 20 17:54:34 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774931?srt=yes#m1774931 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774931?srt=yes#m1774931 <p>Hallo localhorst,</p> <p>ich glaube, ich habe das was falsch im Kopf gehabt. Die password_hash Funktion bekommt keinen Key.</p> <p>Aber die md5-Funktion solltest Du dringend entfernen. md5 gilt als gehackt.</p> <p>Heißt: der Login-Tabelle ein Feld hinzufügen das ein Kennzeichen für die verwendete Hashfunktion enthält.</p> <p>User, die sich anmelden und einen MD5 Hash haben, werden zur Kennwortänderung aufgefordert. Bei der Änderung wird nach neuem Verfahren gehasht.</p> <p>Du kannst natürlich auch still und heimlich beim Login das Passwort rehashen und den neuen Hash in die DB schreiben. Aber da ein md5-Hash als kompromittiert zu betrachen ist, würde ich das als weniger sicher bezeichnen.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> Attachment als base64 encoded wieder dekodieren? Migration? Wed, 26 Aug 20 18:18:07 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774934?srt=yes#m1774934 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774934?srt=yes#m1774934 <blockquote> <p>Hallo localhorst,</p> <p>die md5-Funktion meines Wissens schon, aber <strong>die</strong> solltest Du dringend entfernen. md5 gilt als gehackt.</p> </blockquote> <h3>Vorsicht:</h3><p>md5() ist nicht "gehackt" worden, da die Funktionsweise ja schon immer bekannt war. Es gab also keine Geheimnisse zu hacken.</p> <p>Eine Konsolidierung von Daten mittels <code>md5()</code> ist bestenfalls unsicherer geworden, da 128 Bit heute nicht mehr ausreichen, um genügend Zeit zu schinden, und derartige Hashes keine Ablaufdaten enthalten.</p> <p>Ich nenne das ab jetzt "single sign", da ja keinem anderen Dokument derselbe Hash zugeordnet werden sollte - bis auf die Milliarden unplausiblen anderen und gefakten Doks. Da wird man dann im Einzelfall durch Kontext entscheiden müssen, oder.</p> <p><code>md5()</code> ist ohne Kontextbewertung IMHO nicht sinnvoll.</p> <p>Paranoide Grüße<br> localhorst</p> Attachment als base64 encoded wieder dekodieren? Thu, 27 Aug 20 12:21:29 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774956?srt=yes#m1774956 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774956?srt=yes#m1774956 <p>Hallo Rakete,</p> <p><strong>gut geschrieben! Das muss ins Wiki :-)</strong></p> <blockquote> <p>Würden Passwörter also mit MD5 gehasht, so kann ein Angreifer aus dem Hash ein gültiges Passwort ermitteln. Das muss nicht das ursprüngliche sein.</p> </blockquote> <p><strong>Das</strong> ist der Knackepunkt. 128 Bit sind eben nicht mehr viel. Dafür kann man heutzutage bedenkenlos eine direkt gestreute Tabelle aufbauen.</p> <p>3,40282367E+38 Zeilen mit 24 bis 32 Bytes Breite, oder komfortabel auch mit 152 Bytes pro Datensatz (16Bytes Hash und je ein Wert für Passworte mit 1 bis 16 Zeichen Länge).</p> <p>Wenn man zum Hash die Länge des erforderlichen Passwortes mit abspeichert kann man die "Sicherheit" geringfügig erhöhen.</p> <p>Sollte mich wundern, wenn es noch keinen <a href="https://md5.gromweb.com" rel="nofollow noopener noreferrer">Dienst</a> für die Ermittlung zumindest <em>eines</em> Passwortes zum Hash im Internet geben würde.</p> <p>Paranoide Grüße<br> localhorst</p> Attachment als base64 encoded wieder dekodieren? Thu, 27 Aug 20 13:48:33 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774958?srt=yes#m1774958 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774958?srt=yes#m1774958 <p>Hallo Raketenerklärbär,</p> <blockquote> <p>ist es inzwischen sogar Privatpersonen möglich zumindest bei schwachen Hashalgorithmen wie MD5 mit kurzer Ausgabemenge (128 Bit) möglich für jeden denkbaren Hashwert eine Eingabe zu speichern und diese abzufragen.</p> </blockquote> <p>Das rechne mal nach. Wir leben derzeit in der <a href="https://de.wikipedia.org/wiki/Zettabyte-%C3%84ra" rel="nofollow noopener noreferrer">Zettabyte-Ära</a>, und man schätzt das weltweite Datenvolumen für 2020 auf 40 ZB. Das sind 4x10^22 oder ca. 2^75 Bytes. Bis zur 2^128 sind noch 53 Bit Luft - wenn sich die Datenmenge auf der Welt, wie geschätzt, alle 2 Jahre verdoppelt, dann sind wir in 106 Jahren bei so vielen Bytes angekommen. Also, nein, sooo schwach ist MD5 auch nicht.</p> <p>Die Schwäche von MD5 liegt darin, dass ein Hash relativ fix berechnet ist und dass es Kollisionsangriffe gibt (d.h. zwei Nachrichten mit gleichem Anfang liefern den gleichen Hash). Damit ist MD5 zum Signieren ungeeignet.</p> <p>Beim Ermitteln von Passwörtern hast Du aber die Aufgabe, zu einem gegebenen Hash einen Klartext zu finden, der diesen Hash erzeugt. Das kannst Du nicht für alle möglichen Hashes vorausberechnen, siehe oben. Und ein Algorithmus, der zu einem gegebenen, <strong>beliebigen</strong> Hash in vertretbarer Zeit einen Klartext findet, der diesen Hash liefert, existiert meines Wissens auch nicht.</p> <p>Brute-Force Attacken verwenden darum Passwort-Wörterbücher und damit ein Subset aller möglichen Hashes. Diese werden über Rainbow-Tables nochmal weiter verdichtet, so dass man ein vertretbares Datenvolumen im Terabyte-Bereich erhält.</p> <p>D.h. ein MD5 gehashtes Passwort mit Zufallssalz und am besten noch Pfeffer ist nach wie vor nicht realistisch angreifbar, weil das Salz die Rainbow-Tables unwirksam macht und man für jeden Hash neu anfangen muss. Natürlich geht es besser, dafür ist ja SHA-2 gemacht. Die Hauptaufgabe ist es dort aber - meine ich - das Hashen vorsätzlich langsam zu machen, so dass man eben nicht per Hardware Millionen oder Milliarden Hashes pro Sekunde berechnen kann.</p> <p>Gegen schwache Passwörter, die auch noch ungesalzen gehasht werden, hilft aber auch SHA-99 nicht.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> MD5-Sicherheit Fri, 28 Aug 20 06:33:03 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774960?srt=yes#m1774960 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774960?srt=yes#m1774960 <p>Hi Rolf,</p> <p>stimmt, 10^38 ist doch noch eine beeindruckende Zahl.</p> <p>Ich traue mich allerdings nicht zu behaupten, dass ein passendes Speichermedium, ggf. im Cluster, noch nicht existiert.</p> <p>Als b+tree-Applikation ließe sich das bequem über mehrere Hosts mit (riesigen) (R)AIDS verteilen.</p> <p>Jedenfalls gebe ich immer wieder die Empfehlung, bei MD5-Hashing zum Passwort auch dessen zu benutzende Länge in einer separaten Tabelle abzuspeichern und zu überprüfen. Das verringert die Chance beim M:1 (Passworte:Hash) Match, einen Treffer zu landen.</p> <h3>wiki</h3><p>magst Du Raketes Beitrag mal so ergänzen, dass er ins Wiki passt?</p> <p>Paranoide Grüße<br> localhorst</p> Attachment als base64 encoded wieder dekodieren? Fri, 28 Aug 20 06:41:13 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774961?srt=yes#m1774961 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774961?srt=yes#m1774961 <p>Moin,</p> <blockquote> <p>Gegen schwache Passwörter, die auch noch ungesalzen gehasht werden, hilft aber auch SHA-99 nicht.</p> </blockquote> <p>du meinst Passwörter wie "hallo123"<sup class="footnote-ref"><a href="#fn1" id="fnref1">[1]</a></sup>, oder Benutzername: <em>Vorname</em>, Passwort: <em>Nachname</em>?</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Home is where my beer is. </div> <hr class="footnotes-sep"> <section class="footnotes"> <ol class="footnotes-list"> <li id="fn1" class="footnote-item"><p>Gemäß einer Passwort-Statistik, die ich mal irgendwo gelesen habe, steht das tatsächlich unter den Top 3 der meistverwendeten. <a href="#fnref1" class="footnote-backref">↩︎</a></p> </li> </ol> </section> MD5-Sicherheit Fri, 28 Aug 20 15:50:53 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774977?srt=yes#m1774977 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774977?srt=yes#m1774977 <blockquote> <p>bei MD5-Hashing</p> </blockquote> <p>MD5-Hashing sollte auf jeden Fall abgelöst werden. Das ist weit aus der Zeit.</p> <p>Wenngleich Rolf recht damit hat, dass eine <strong>vollständige</strong> Rainbow-Table für MD5 nicht speicherbar sei, so wird Sie es dennoch bald sein.</p> <p>Übrigens:</p> <blockquote> <blockquote> <p>Die Schwäche von MD5 liegt darin, dass ein Hash relativ fix berechnet ist und dass es Kollisionsangriffe gibt (d.h. zwei Nachrichten mit gleichem Anfang liefern den gleichen Hash). Damit ist MD5 zum Signieren ungeeignet.</p> </blockquote> </blockquote> <p>Ist so nicht zu halten. Die beiden (aus einem centos-Image hergestellten) Dateien</p> <pre><code class="block">$ ls -lh /tmp/centos? -rw------- 1 fastix fastix 4,2G Aug 28 16:55 /tmp/centos1 -rw------- 1 fastix fastix 4,2G Aug 28 16:55 /tmp/centos2 </code></pre> <p>unterscheiden sich durch nur das <strong>letzte</strong> Byte ("1", "2")</p> <pre><code class="block">$ md5sum < /tmp/centos1 43deec111a143a8a3fdfbf38c7804e15 - $ md5sum < /tmp/centos2 45a97b054de3f5e8295d41170df51b09 - </code></pre> <p>Wenn bei MD5 zwei Nachrichten "mit gleichem Anfang" den gleichen Hash liefern würden sähe das anders aus. <a href="https://de.wikipedia.org/wiki/Message-Digest_Algorithm_5#Angriffe" rel="nofollow noopener noreferrer">MD5 für Signatur bzw. Verifizierungszwecke zwecke ist aber dennoch inzwischen angreifbar.</a></p> <blockquote> <blockquote> <p>dafür ist ja SHA-2 gemacht. Die Hauptaufgabe ist es dort aber - meine ich - das Hashen vorsätzlich langsam zu machen, so dass man eben nicht per Hardware Millionen oder Milliarden Hashes pro Sekunde berechnen kann.</p> </blockquote> </blockquote> <p>Richtig ist, dass man irgendwann entdeckt, dass der SHA-1-Algo von der mitnormenden NSA geschwindigkeitsoptimiert wurde… Neben SHA2 und dessen Kindern (derzeit bis SHA512 gängig) soll die oben beschriebene Rundendreherei das Verfahren verlangsamen. Das geht in PHP mit <a href="https://www.php.net/manual/de/function.password-hash.php" rel="nofollow noopener noreferrer">password_hash()</a> immerhin bis 2^30.</p> <p>Standard (2^10 Runden):</p> <pre><code class="block language-php"><span class="token php language-php"><span class="token delimiter important"><?php</span> <span class="token variable">$options</span> <span class="token operator">=</span> <span class="token punctuation">[</span><span class="token punctuation">]</span><span class="token punctuation">;</span> <span class="token keyword">echo</span> <span class="token function">password_hash</span><span class="token punctuation">(</span><span class="token string double-quoted-string">"rasmuslerdorf"</span><span class="token punctuation">,</span> <span class="token constant">PASSWORD_BCRYPT</span><span class="token punctuation">,</span> <span class="token variable">$options</span><span class="token punctuation">)</span><span class="token punctuation">;</span> </span></code></pre> <p>Test:</p> <pre><code class="block">$ time php /tmp/test_standard.php $2y$10$l5P.mHtjft91dz52vHmNqua7IiaquE06mrJoyv8C7MnapkneMmL9O real 0m0,081s user 0m0,073s sys 0m0,008s </code></pre> <p>2^15 Runden:</p> <pre><code class="block"><?php # file: /tmp/test_15.php $options = [ 'cost' => 15, ]; echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options); </code></pre> <p>Test:</p> <pre><code class="block">$ time php /tmp/test_15.php $2y$15$zeOQVgaUtgZbyRC4A0tZRODSX7sXIozyGRo1oekEd7ejGmBTl75i6 real 0m1,912s user 0m1,908s sys 0m0,004s </code></pre> <p>(Maximum) 2^30 Runden:</p> <pre><code class="block language-php"><span class="token php language-php"><span class="token delimiter important"><?php</span> <span class="token comment">#file: /tmp/test_30.php</span> <span class="token variable">$options</span> <span class="token operator">=</span> <span class="token punctuation">[</span> <span class="token string single-quoted-string">'cost'</span> <span class="token operator">=></span> <span class="token number">30</span><span class="token punctuation">,</span> <span class="token punctuation">]</span><span class="token punctuation">;</span> <span class="token keyword">echo</span> <span class="token function">password_hash</span><span class="token punctuation">(</span><span class="token string double-quoted-string">"rasmuslerdorf"</span><span class="token punctuation">,</span> <span class="token constant">PASSWORD_BCRYPT</span><span class="token punctuation">,</span> <span class="token variable">$options</span><span class="token punctuation">)</span><span class="token punctuation">;</span> </span></code></pre> <p>Test:</p> <pre><code class="block">$ time php /tmp/test_30.php # Nach über 1h noch kein Ergebnis. # Ich lasse das gerade gegen das Update eines seit Februar # nicht benutzten Windows antreten. # Der Erfahrung nach dauert beides Stunden... ### Ups. Windows ist fertig! </code></pre> MD5-Sicherheit Fri, 28 Aug 20 15:57:43 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774978?srt=yes#m1774978 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774978?srt=yes#m1774978 <blockquote> <p>Jedenfalls gebe ich immer wieder die Empfehlung, bei MD5-Hashing zum Passwort auch dessen zu benutzende Länge in einer separaten Tabelle abzuspeichern und zu überprüfen.</p> </blockquote> <p>Absolut kein guter Tipp. Grund: Der Angreifer kennt dann die Länge des Passworts, was einen Brute-Force-Angriff wesentlich (bis zu 50%, wenn er von "hinten" anfängt sogar um wesentlich mehr...) verkürzt.</p> MD5-Sicherheit Fri, 28 Aug 20 17:06:47 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774981?srt=yes#m1774981 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774981?srt=yes#m1774981 <p>Hallo Raketentester,</p> <blockquote> <p>Wenngleich Rolf recht damit hat, dass eine vollständige Rainbow-Table für MD5 nicht speicherbar sei, so wird Sie es dennoch bald sein.</p> </blockquote> <p>Ja, hab ich ja geschrieben. Mutmaßlich in 100 Jahren. Das ist zwar für IT eine kleine Ewigkeit, aber 1970 hat man sich ja auch so ein paar Merkwürdigkeiten überlegt. Zum Beispiel:</p> <ul> <li>Sekunden ab heute - ist prima für eine sekundengenaue Uhrzeit.</li> <li>Jahrhunderte? Wer braucht die schon.</li> <li>640KB? Der Speicher. Unendliche Weiten! Ok, das war Anfang der 80er...</li> </ul> <p>Und jetzt sind wir schon 50 Jahre weiter und in 18 Jahren fliegen <strong>garantiert</strong> ein paar Embedded-Systeme mit einem Overflow im time_t aus der Kurve. Insofern: Ja. Bald. Nicht zu unseren Lebzeiten, aber bald.</p> <blockquote> <p>Wenn bei MD5 zwei Nachrichten "mit gleichem Anfang" den gleichen Hash liefern würden sähe das anders aus.</p> </blockquote> <p>Das habe ich anders gemeint und unvollständig beschrieben. Es gibt für MD5 einen Angriff, der zu einer Nachricht mit gegebenem Anfang eine zweite Nachricht produziert, die den gleichen Anfang und den gleichen Hash hat. Zumindest habe ich die Beschreibung des Angriffs so verstanden.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> MD5-Sicherheit Fri, 28 Aug 20 16:28:41 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774979?srt=yes#m1774979 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774979?srt=yes#m1774979 <blockquote> <blockquote> <p>Jedenfalls gebe ich immer wieder die Empfehlung, bei MD5-Hashing zum Passwort auch dessen zu benutzende Länge in einer separaten Tabelle abzuspeichern und zu überprüfen.</p> </blockquote> <p>Absolut kein guter Tipp. Grund: Der Angreifer kennt dann die Länge des Passworts, was einen Brute-Force-Angriff wesentlich (bis zu 50%, wenn er von "hinten" anfängt sogar um wesentlich mehr...) verkürzt.</p> </blockquote> <p>Verstehe ich nicht.</p> <p>Woher soll der Angreifer die Länge des richtigen Passwortes kennen? Ganz im Gegenteil! Weil er die Länge des Passwortes <strong>nicht</strong> kennt, kann eher erkannt werden, wenn ein zum Hash passendes Passwort erraten wurde, dass aber nicht das richtige ist.</p> <p>Wieviele Strings zum Hash passen, vermag ich nicht zu sagen, aber es sind garantiert mehrere, auch unterschiedlich lange.</p> <p>LG<br> localhorst</p> MD5-Sicherheit Fri, 28 Aug 20 17:00:39 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774980?srt=yes#m1774980 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774980?srt=yes#m1774980 <p>Hallo localhorst,</p> <p>wenn der Angreifer die Hashes kennt, dann hat er die DB geklaut. Und damit kennt er auch die Längen.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> MD5-Sicherheit Fri, 28 Aug 20 20:59:56 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774989?srt=yes#m1774989 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774989?srt=yes#m1774989 <p>Tach!</p> <blockquote> <p>wenn der Angreifer die Hashes kennt, dann hat er die DB geklaut. Und damit kennt er auch die Längen.</p> </blockquote> <p>Die Länge der Hashes ergibt sich aus dem Algorithmus. Die Länge des Passworts ist aber unbekannt. Es ist unüblich, diesen Wert extra abzulegen. Der ist für die Berechnung des Hashes nicht relevant und würde unnötigerweise einen Hinweis geben, wie das Brute Force einzuschränken geht.</p> <p>dedlfix.</p> MD5-Sicherheit Fri, 28 Aug 20 21:19:58 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774990?srt=yes#m1774990 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774990?srt=yes#m1774990 <p>Hallo dedlfix,</p> <p>du hast aber gelesen, worauf geantwortet wurde?</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> MD5-Sicherheit Fri, 28 Aug 20 22:11:44 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774991?srt=yes#m1774991 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774991?srt=yes#m1774991 <p>Tach!</p> <blockquote> <p>du hast aber gelesen, worauf geantwortet wurde?</p> </blockquote> <p>Nicht alles. Ok, das Argument gegen ein Speichern der Länge kam schon. Trotzdem bleibt die Frage, wie soll an der Länge erkannt werden, ob es ein falsches Passwort ist, wenn die Länge aus Gründen besser nicht gespeichert wird?</p> <p>Wenn man anhand der falschen Länge einen Angriff erkennen möchte, müsste man die Länge speichern und davon ausgehen, dass die Datenbank nicht gestohlen wurde. Aber wenn man davon ausgeht, dass sie vor Diebstahl sicher ist, könnte man gleich Klartext speichern. Sie per Hashing so zu gestalten, dass sie im Diebstahlfall unbauchbar ist, aber gleichzeitig Informationen zu speichern, die das Ermitteln des Passwortes erleichtern, da widersprechen sich die Interessenslagen. Angriffe muss man anders erkennen als an der Länge des probierten Strings.</p> <p>dedlfix.</p> MD5-Sicherheit Sat, 29 Aug 20 05:27:10 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774994?srt=yes#m1774994 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774994?srt=yes#m1774994 <blockquote> <p>Tach!</p> <blockquote> <p>du hast aber gelesen, worauf geantwortet wurde?</p> </blockquote> <p>Nicht alles. Ok, das Argument gegen ein Speichern der Länge kam schon. Trotzdem bleibt die Frage, wie soll an der Länge erkannt werden, ob es ein falsches Passwort ist, wenn die Länge aus Gründen besser nicht gespeichert wird?</p> <p>Wenn man anhand der falschen Länge einen Angriff erkennen möchte, müsste man die Länge speichern und davon ausgehen, dass die Datenbank nicht gestohlen wurde. Aber wenn man davon ausgeht, dass sie vor Diebstahl sicher ist, könnte man gleich Klartext speichern. Sie per Hashing so zu gestalten, dass sie im Diebstahlfall unbauchbar ist, aber gleichzeitig Informationen zu speichern, die das Ermitteln des Passwortes erleichtern, da widersprechen sich die Interessenslagen. Angriffe muss man anders erkennen als an der Länge des probierten Strings.</p> </blockquote> <p>Ich schrieb extra: in einer eigenen Tabelle (aka Datenbank).<br> Aber jemand, der die Tabelle mit den Passworthashes stehlen kann, wird ohnehin (Voll)Zugriff aufs System haben.</p> <p>IMHO ist die Behauptung, dass Datenbanken gestohlen wurden, nur eine Schutzbehauptung der Betreiber, weil sie die damit verbundenen Daten in Wirklichkeit teuer verkauft haben.</p> <p>Mit einer separaten Speicherung der Passwortlänge oder besser eines zusätzlichen Hash-Verschlüsselungskeys kann man jedenfalls die Sicherheit erhöhen, wenn derjenige, der die Hashes hat nicht ohnehin gleich das Verifizierungsmodul patchen kann.</p> <p>Welche (a)sozialen Plattformen verlangen eigentlich in geeigneten Abständen die Neusetzung des Passwortes? Und welche behandeln auch den Anmeldenamen als Geheimnis? Das machen mWn noch nicht einmal die Banken.</p> <p>Alle theoretischen Ansätze sind aber obsolet, wenn die Pseudoprofis noch nicht einmal die einfachsten Möglichkeiten für Sicherheitsgewinn ausschöpfen.</p> <p>LG<br> localhorst</p> MD5-Sicherheit Sat, 29 Aug 20 06:27:45 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774995?srt=yes#m1774995 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774995?srt=yes#m1774995 <p>Na? Guten Morgen!</p> <blockquote> <p>Aber jemand, der die Tabelle mit den Passworthashes stehlen kann, wird ohnehin (Voll)Zugriff aufs System haben.</p> </blockquote> <p>Einen Augenblick lang dachte ich, Du hättest verstanden.</p> <blockquote> <p>IMHO ist die Behauptung, dass Datenbanken gestohlen wurden, nur eine Schutzbehauptung der Betreiber, weil sie die damit verbundenen Daten in Wirklichkeit teuer verkauft haben.</p> </blockquote> <p>Dieser Meinung würde ich mich zumindest im Hinblick auf die inneliegende Allgemeingültigkeitsbehauptung niicht anschließen.</p> <blockquote> <p>Pseudoprofis</p> </blockquote> <p>Willst Du nun „geliebt werden“ oder um Dich hauen? Fürs „geliebt werden wollen“ sind einfache Sätze wie „Du hast Recht“ sehr hilfreich. Versuchs doch mal damit.</p> MD5-Sicherheit Sat, 29 Aug 20 08:27:49 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774996?srt=yes#m1774996 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774996?srt=yes#m1774996 <p>@@localhorst</p> <blockquote> <p>Welche (a)sozialen Plattformen verlangen eigentlich in geeigneten Abständen die Neusetzung des Passwortes? Und welche behandeln auch den Anmeldenamen als Geheimnis? Das machen mWn noch nicht einmal die Banken.</p> </blockquote> <p>Das erzwungene Neusetzen eines Passworts macht ein System nicht sicherer.</p> <p>Im Gegenteil, es führt dazu, dass Nutzer sich ihre Passwörter nicht mehr merken können und deshalb auf verschiedenen Plattformen wiederverwenden, einfache Passwörter verwenden oder sich die Passwörter sogar aufschreiben.</p> <p>Der Unsinn mit dem erzwungenen Neusetzen eines Passworts muss endlich mal aufhören. Neues Passwort, wenn das System gehackt wurde. Ansonsten nicht.</p> <p> LLAP</p> <div class="signature">-- <br> <em>„Sag mir, wie Du Deine Maske trägst, und ich sage Dir, ob Du ein Idiot bist.“</em> —@Ann_Waeltin </div> MD5-Sicherheit Sat, 29 Aug 20 08:54:31 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774998?srt=yes#m1774998 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774998?srt=yes#m1774998 <blockquote> <p>Na? Guten Morgen!</p> <blockquote> <p>Aber jemand, der die Tabelle mit den Passworthashes stehlen kann, wird ohnehin (Voll)Zugriff aufs System haben.</p> </blockquote> <p>Einen Augenblick lang dachte ich, Du hättest verstanden.</p> </blockquote> <p>Dann bleib doch bitte wissenschaftlich und erkläre mir meinen Irrtum ;-)</p> <blockquote> <blockquote> <p>IMHO ist die Behauptung, dass Datenbanken gestohlen wurden, nur eine Schutzbehauptung der Betreiber, weil sie die damit verbundenen Daten in Wirklichkeit teuer verkauft haben.</p> </blockquote> <p>Dieser Meinung würde ich mich zumindest im Hinblick auf die inneliegende Allgemeingültigkeitsbehauptung nicht anschließen.</p> </blockquote> <p>Aber die Möglichkeit eines solchen Zusammenhangs würdest Du in Betracht ziehen? Wieviel Prozent würdest Du wagen?</p> <blockquote> <blockquote> <p>Pseudoprofis</p> </blockquote> <p>Willst Du nun „geliebt werden“ oder um Dich hauen? Fürs „geliebt werden wollen“ sind einfache Sätze wie „Du hast Recht“ sehr hilfreich. Versuchs doch mal damit.</p> </blockquote> <p>Ich will meine Erkenntnisse ständig hinterfragen dürfen. Auch öffentlich.<br> Ob ich dann dafür geliebt oder gehasst werden will, ist hier keine passende Frage. Ich würde mir nur wünschen, dass es auch Mitdenker gäbe, die bereit wären, ihre eigenen Gedankengänge offenzulegen, und sich nicht auf "best Practices" herauszureden.</p> <p>LG<br> localhorst</p> Gesichtsmaske Sat, 29 Aug 20 08:39:26 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774997?srt=yes#m1774997 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1774997?srt=yes#m1774997 <p>Hallo,</p> <blockquote> <p><em>„Sag mir, wie Du Deine Maske trägst, und ich sage Dir, ob Du ein Idiot bist.“</em> —@Ann_Waeltin</p> </blockquote> <p>in der Tat: Unterm Kinn getragen ist die Maske ungefähr so wirksam wie ein Fahrradhelm, der lässig am Ellbogen baumelt. Mit einem entscheidenden Unterschied: Beim Fahrradhelm hat der (Nicht-)Träger allein die Nachteile.</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Home is where my beer is. </div> Gesichtsmaske Sat, 29 Aug 20 09:19:34 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775002?srt=yes#m1775002 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775002?srt=yes#m1775002 <p>@@Der Martin</p> <blockquote> <blockquote> <p><em>„Sag mir, wie Du Deine Maske trägst, und ich sage Dir, ob Du ein Idiot bist.“</em> —@Ann_Waeltin</p> </blockquote> <p>in der Tat: Unterm Kinn getragen ist die Maske ungefähr so wirksam wie ein Fahrradhelm, der lässig am Ellbogen baumelt. Mit einem entscheidenden Unterschied: Beim Fahrradhelm hat der (Nicht-)Träger allein die Nachteile.</p> </blockquote> <p>Unter der Nase ist fast genauso bescheuert. <a href="https://twitter.com/charis/status/1298501959796760576" rel="nofollow noopener noreferrer">Symbolbild</a></p> <p>Mir kommt das Kotzen, wenn die Vollidioten heute durch Berlin ziehen.</p> <p> LLAP</p> <div class="signature">-- <br> <em>„Sag mir, wie Du Deine Maske trägst, und ich sage Dir, ob Du ein Idiot bist.“</em> —@Ann_Waeltin </div> MD5-Sicherheit Sat, 29 Aug 20 09:17:41 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775001?srt=yes#m1775001 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775001?srt=yes#m1775001 <blockquote> <p>Dann bleib doch bitte wissenschaftlich und erkläre mir meinen Irrtum ;-)</p> </blockquote> <p>Also, was führt Dich zu der Vermutung, dass derjenige, der die Passwort-Hashes erlangen kann nicht auch an die zugeörigen Daten mit den Längen der ursprünglichen Passwörter kommt?</p> <blockquote> <blockquote> <blockquote> <p>IMHO ist die Behauptung, dass Datenbanken gestohlen wurden, nur eine Schutzbehauptung der Betreiber, weil sie die damit verbundenen Daten in Wirklichkeit teuer verkauft haben.</p> </blockquote> <p>Dieser Meinung würde ich mich zumindest im Hinblick auf die inneliegende Allgemeingültigkeitsbehauptung nicht anschließen.</p> </blockquote> <p>Aber die Möglichkeit eines solchen Zusammenhangs würdest Du in Betracht ziehen? Wieviel Prozent würdest Du wagen?</p> </blockquote> <p>Das kommt darauf an, ob Du unter „Betreiber“ ausschließlich die Eigentümer oder Geschäftsführer buchst oder auch Mitarbeiter.</p> <p>Wenn Du Mitarbeiter mitzählst, dann darauf, ob Du Mitarbeiter von Drittfirmen mitzählst und zu guter Letzt, ob Du „einfach mal aus Rache irgendwo hochladen“ auch unter „in Wirklichkeit teuer verkauft“ buchst.</p> <p>Nur Geschäftsführer und Betreiber? Dann tippe ich auf eine bei einem kleinen Bruchteil eines Prozents liegenden Zahl.</p> <blockquote> <blockquote> <blockquote> <p>Pseudoprofis</p> </blockquote> <p>Willst Du nun „geliebt werden“ oder um Dich hauen?</p> </blockquote> </blockquote> <blockquote> <p>Ob ich dann dafür geliebt oder gehasst werden will, ist hier keine passende Frage.</p> </blockquote> <p>Doch. Das ist es bei dem angeschlagenen Ton. Der ist beleidigend. wenn Du was sachliches hast, dann trag es sachlich vor.</p> MD5-Sicherheit Sat, 29 Aug 20 11:03:33 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775010?srt=yes#m1775010 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775010?srt=yes#m1775010 <p>Hallo Raketenpsychoedukationsbevollmächtigter,</p> <blockquote> <p>Doch. Das ist es bei dem angeschlagenen Ton. Der ist beleidigend.</p> </blockquote> <p>Du bist aber heute extrem dünnhäutig.</p> <p>Bis demnächst<br> Matthias</p> <div class="signature">-- <br> Du kannst das Projekt SELFHTML unterstützen,<br> indem du bei Amazon-Einkäufen <a href="https://smile.amazon.de/ch/314-570-45498" rel="nofollow noopener noreferrer">Amazon smile</a> (<a href="https://www.amazon.de/gp/help/customer/display.html?ie=UTF8&nodeId=202035970%5D" rel="nofollow noopener noreferrer">Was ist das?</a>) nutzt. </div> Tut mir leid Sun, 30 Aug 20 05:35:51 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775046?srt=yes#m1775046 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775046?srt=yes#m1775046 <p>Hallo,</p> <blockquote> <p>Doch. Das ist es bei dem angeschlagenen Ton. Der ist beleidigend. wenn Du was sachliches hast, dann trag es sachlich vor.</p> </blockquote> <p>Ich bitte um Verzeihung, wenn mein Ton unangemessen gewesen war.</p> <p>Ich kann die Stelle aber im Moment nicht erkennen. Es kann/sollte sich IMHO nur um ein Missverständnis handeln. Lass uns das doch bitte aus der Welt schaffen :-)</p> <p>LG<br> localhorst</p> Gesichtsmaske Sat, 29 Aug 20 09:25:14 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775003?srt=yes#m1775003 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775003?srt=yes#m1775003 <p>Hallo,</p> <blockquote> <blockquote> <p>in der Tat: Unterm Kinn getragen ist die Maske ungefähr so wirksam wie ein Fahrradhelm, der lässig am Ellbogen baumelt. Mit einem entscheidenden Unterschied: Beim Fahrradhelm hat der (Nicht-)Träger allein die Nachteile.</p> </blockquote> <p>Unter der Nase ist fast genauso bescheuert. <a href="https://twitter.com/charis/status/1298501959796760576" rel="nofollow noopener noreferrer">Symbolbild</a></p> </blockquote> <p>das stimmt - aber so hab ich's in freier Wildbahn noch nicht gesehen. Dafür jemanden, der an der Haltestelle auf den Bus wartete, die Maske schon (korrekt) vor dem Gesicht hatte, die Unterkante von dem Ding aber alle paar Sekunden ein Stück hochgezogen hat, um an seiner Kippe zu ziehen.</p> <blockquote> <p>Mir kommt das Kotzen, wenn die Vollidioten heute durch Berlin ziehen.</p> </blockquote> <p>Ich hoffe, du musst dich nicht mit darunter mischen.</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Home is where my beer is. </div> MD5-Sicherheit Sat, 29 Aug 20 12:39:29 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775015?srt=yes#m1775015 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775015?srt=yes#m1775015 <p>Lieber Matthias,</p> <blockquote> <p>Du bist aber heute extrem dünnhäutig.</p> </blockquote> <p>dat darf dat.</p> <p>Liebe Grüße</p> <p>Felix Riesterer</p> „dünnhäutig“ vers. Psychoedukation Sun, 30 Aug 20 12:39:18 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775054?srt=yes#m1775054 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775054?srt=yes#m1775054 <blockquote> <blockquote> <blockquote> <blockquote> <blockquote> <p><strong>L:</strong> Pseudoprofis</p> </blockquote> </blockquote> </blockquote> </blockquote> </blockquote> <blockquote> <blockquote> <blockquote> <blockquote> <p><strong>R:</strong> Willst Du nun „geliebt werden“ oder um Dich hauen? Fürs „geliebt werden wollen“ sind einfache Sätze wie „Du hast Recht“ sehr hilfreich. Versuchs doch mal damit.</p> </blockquote> </blockquote> </blockquote> </blockquote> <blockquote> <blockquote> <blockquote> <p><strong>L:</strong> Ob ich dann dafür geliebt oder gehasst werden will, ist hier keine passende Frage.</p> </blockquote> </blockquote> </blockquote> <blockquote> <blockquote> <p><strong>R:</strong> Doch. Das ist es bei dem angeschlagenen Ton. Der ist beleidigend.</p> </blockquote> <p><strong>M:</strong> Du bist aber heute extrem dünnhäutig.</p> </blockquote> <p>Moin:</p> <p>Wieso „dünnhäutig“?</p> <p>Im Hinblick auf die GANZE Geschichte war das doch lediglich der Hinweis darauf, dass man sich mit solchen Worten keine Freunde macht – mithin lediglich Psychoedukation…</p> Tut mir leid Sun, 30 Aug 20 08:30:10 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775052?srt=yes#m1775052 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775052?srt=yes#m1775052 <p>Hallo localhorst,</p> <p>mutmaßlich geht es um</p> <blockquote> <p>Pseudoprofis</p> </blockquote> <p>und</p> <blockquote> <p>herausreden</p> </blockquote> <p>Aber ich fand auch, dass Jörg recht dünnhäutig war.</p> <p>Du hast sicher recht, wenn Du sagst, dass die Hauptgefahrenquelle eines sicheren Systems innen liegt: bei den Admins, bei den Betreibern. Entweder, weil die existierenden Admins kriminell sind, oder weil sich ein Krimineller auf den Weg durch die Instanzen macht<sup class="footnote-ref"><a href="#fn1" id="fnref1">[1]</a></sup> und Admin wird.</p> <p>Wenn ein Krimineller Zugang zur DB / zu den DBs bekommt, dann ist es innerhalb dieser Institution vorbei mit der Sicherheit. Da ist es in dieser einen Institution dann auch egal, ob die PW im Klartext, im MD5 Hash, mit separat abgelegter Längeninfo oder im Super-Duper-XKTZ-2099-Cryptohash gespeichert wurden.</p> <p>Die Speicherung der PW-Länge in einer separaten DB ist Security by Obscurity: Man muss eine spezifische interne Information haben, um das PW rekonstruieren zu können. SbO ist aber nur Illusion, keine Security. Sie hilft Dir gegen inkompetente Einbrecher, oder gegen Code Injections, die irgendwie den PW Hash ermitteln. Und gegen kompetente Gegner hilft sie nichts, sondern macht ihnen, wie oben schon gesagt, das Leben leichter, weil nur noch Passwörter einer bestimmten Länge in Frage kommen.</p> <p>Das Speichern eines separaten Hashs passiert ja eigentlich bei den neueren Methoden, wenn auch etwas anders gelöst. Da verwendet man ein Zufallssalz, wodurch vorausberechnete Angriffe sabotiert werden. Das funktioniert so gut, dass man das Salz nicht mal geheim halten muss. Elementare Anforderungen an Passwörter werden dadurch natürlich nicht obsolet, sie müssen schon eine gewisse Mindestkomplexität mitbringen.</p> <p>Die Länge nützt nur in einem Fall: dass jemand von außen, durch Durchprobieren von Passwörtern auf dem Login-Form (per Script natürlich) versucht, das Passwort zu finden. Wenn es zwei PW gibt, die den gleichen Hash liefern, dann ist die Chance sehr klein, dass sie auch gleich lang sind.</p> <p>Aber: Der Werteraum der Hashes, selbst bei MD5, ist so riesig, dass eine Hashkollision bei Passwörtern eigentlich nicht vorkommt. Deswegen ist der Zusatznutzen den Aufwand nicht wert. Da ist ein Fehlversuchszähler viel sinnvoller, der nach 5 oder 10 Versuchen die User-ID sperrt.</p> <p>Wobei auch das überlegt sein muss - diesen Zähler hatten wir im carcassonne-online.info Forum. Und als jemand anfing, genau diesen Angriff gegen uns zu fahren, waren plötzlich alle User gesperrt, die Postings im offen lesbaren Bereich gemacht hatten. Da musste ich schnell die Loginseite gegen dumme Scripte härten (ein CSRF Token reichte).</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> <hr class="footnotes-sep"> <section class="footnotes"> <ol class="footnotes-list"> <li id="fn1" class="footnote-item"><p>Ah, Entschuldigung an alle 68er, das sollte nicht andeuten dass jeder von euch ein Krimineller sei <a href="#fnref1" class="footnote-backref">↩︎</a></p> </li> </ol> </section> „dünnhäutig“ vers. Psychoedukation Sun, 30 Aug 20 13:10:31 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775055?srt=yes#m1775055 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775055?srt=yes#m1775055 <p>Hallo Raketenpsychoedukationbeauftragter,</p> <p>lass mich mal eine andere Deutung versuchen. Wenn ein "Du hast Recht" für Dich Voraussetzung ist, dass Du dein Gegenüber magst (im Sinne von "geliebt werden"), ist das auch nicht unbedingt freundschaftsfördernd. Oder es fördert die falschen Freundschaften.</p> <p>Bei den Pseudoprofis war ich mir übrigens gar nicht so sicher, ob damit Diskussionsteilnehmer oder "ungeschickte Hoster" im allgemeinen gemeint waren.</p> <p>Den Pseudoprofi wird man übrigens am zuverlässigsten los, wenn man den behaupteten Sicherheitsgewinn qualifiziert als Pseudosicherheit belegt. Das habe ich zumindest versucht. Und ich bin, was Webhosting angeht, nichtmal ein Laie...</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> „dünnhäutig“ vers. Psychoedukation Sun, 30 Aug 20 15:08:14 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775062?srt=yes#m1775062 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775062?srt=yes#m1775062 <blockquote> <p>Den Pseudoprofi wird man übrigens am zuverlässigsten los, wenn man den behaupteten Sicherheitsgewinn qualifiziert als Pseudosicherheit belegt.</p> </blockquote> <p>Das hatte sowohl meine Raketenwenigkeit als auch Dedlfix getan. Statt sich aber mit dem Vortrag zu befassen wurde das Wort „Pseudoprofis“ in die Diskussion eingeführt.</p> <blockquote> <p>Wenn ein "Du hast Recht" für Dich Voraussetzung ist, dass Du dein Gegenüber magst</p> </blockquote> <p>Das war nur ein situationsgetriebener Vorschlag an denjenigen, der hier allen Ernstes die Speicherung eines MD5-Hashes des Passwortes und der Passwortlänge empfohlen hatte und nach der Darlegung, dass es sich um keine gute Idee handelte, mit dem selben Ernst die Fähigkeiten und die Glaubwürdigkeit der Vorredner durch den Gebrauch des Wortes „Pseudoprofis“ in Abrede stellte. Wer - bitte - nimmt denn nicht gern zur Kenntnis, dass sich derjenige, dessen Irrtum man zu korrigieren versucht, mit dem Cortrag auseinandersetzt und den Irrtum einsieht? Nichts anderes besagt mein Satz <em>„Fürs „geliebt werden wollen“ sind einfache Sätze wie „Du hast Recht“ sehr hilfreich.“</em></p> <p>Ich weiß auch nicht, wo Du hernimmst, dass ein "Du hast Recht" für mich Voraussetzung sei. Ich selbst bin bzw. war gar nicht „angepisst“ - aber solches Verhalten ist schlicht unmöglich. Ich wundere mich nur über das „dünnhäutig“. <strong>Mir selbst wurde gerade erst beigebracht, dass es im Hinblick auf die Entwicklung der Situation besser ist, solches Verhalten eben nicht schweigend zu übergehen sondern sondern umgehend zu monieren.</strong></p> <blockquote> <p>Und ich bin, was Webhosting angeht, nichtmal ein Laie...</p> </blockquote> <p>Kommt in meinem Fall auf den Server an.</p> „dünnhäutig“ vers. Psychoedukation Sun, 30 Aug 20 15:11:47 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775063?srt=yes#m1775063 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775063?srt=yes#m1775063 <p>Hallo Raketenpsychoedukationbeauftragter,</p> <blockquote> <p>Ich wundere mich nur über das „dünnhäutig“.</p> </blockquote> <p>Ich konnte vorangegangenen Diskussion keinen Grund für deine Reaktion entnehmen. <strong>Für mich</strong> sah das extrem dünnhäutig aus. Wenn das eine falsche Wahrnehmung meinerseits war, ist ja alles gut.</p> <p>Bis demnächst<br> Matthias</p> <div class="signature">-- <br> Du kannst das Projekt SELFHTML unterstützen,<br> indem du bei Amazon-Einkäufen <a href="https://smile.amazon.de/ch/314-570-45498" rel="nofollow noopener noreferrer">Amazon smile</a> (<a href="https://www.amazon.de/gp/help/customer/display.html?ie=UTF8&nodeId=202035970%5D" rel="nofollow noopener noreferrer">Was ist das?</a>) nutzt. </div> „dünnhäutig“ vers. Psychoedukation Sun, 30 Aug 20 15:41:20 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775065?srt=yes#m1775065 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775065?srt=yes#m1775065 <p>Hallo Raketenpsychoedukationbeauftragter,</p> <p>ok, ich habe übertrieben und gestichelt. Und das auch noch vorsätzlich. Hätte ich nicht tun sollen, entschuldige bitte.</p> <p>Ob wir localhorst nun noch überzeugt bekommen? Immerhin gibt's ja nun ein paar gute Argumente für die best practice.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> Issjaallesgut Sun, 30 Aug 20 16:02:41 Z https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775067?srt=yes#m1775067 https://forum.selfhtml.org/self/2020/aug/26/attachment-als-base64-encoded-wieder-dekodieren/1775067?srt=yes#m1775067 <p><a href="/users/6547" class="mention registered-user" rel="noopener noreferrer">@Rolf B</a> <a href="/users/2" class="mention registered-user" rel="noopener noreferrer">@Matthias Apsel</a></p> <p>Issjaalles<strong>gut</strong>.</p>