Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hi,

Ich würde gerne wissen ob mein Plan eines Login-formulars sicher ist, oder ob ich es nochmal überarbeiten sollte.

Ich habe vor:

Username+Passwort abfragen,

Passwort md5 verschlüsseln über Webservice mit Datenbank abgleichen.

für das anmelden:

Username, Passwort(mit JQUERY Passwort strength meter) das ganze verschlüsseln mit md5 und über webservice in die Datenbank schreiben.

Code habe ich noch keinen.

Grüße uthred

Geschrieben

Ok, danke für den Hinweis. Jedoch muss ich es verwenden, da mein Ausbilder es so verlangt und es noch für sicher genug hält. Der Webservice ist auch unsinnig, also bleibt nur die gute alte Methode der einfachen Datenbankabfrage ;)

Geschrieben

Das klingt sowas von unprofessionell. Nicht-MD5-HashFunktionen sind nicht aufwendiger zu implementieren, wenn es nicht schon implementiert ist, und du kommst mit der Begründung betriebsinterne Anwendung.

Da kannst du gleich das Passwort in Klartext abspeichern... ist ja nur eine betriebsinterne Anwendung.

Wenn du bei mir im Betrieb wärst, dann würde ich dich ab diesem Zeitpunkt nicht mehr ernst nehmen. Aber das kann dir ja egal sein.

Geschrieben

Naja dann dürfte ich meinen cheffe nicht mehr ernst nehmen, denn er hat es mir so gesagt( nur betriebsinterne anwendung etc.) , als ich ihm erklären wollte, dass es unsicher ist. Nehme ich meinen Chef nicht mehr ernst, dann ist nicht nur mein Login-Formular unsicher, sondern auch mein Job.

Ich könnte ja das Passwort erst md5 hashen/verschlüsseln und dann dieses gehashte passwort nochmal mit sha-2 hashen.

Dann sind beide Seiten zufrieden, mein Chef weil ich md5 nach seinen Anweisungen verwendet habe und die Sicherheitsbeauftragten, weil es mit modernen hash-methoden bearbeitet wurde.

Geschrieben

mysql_real_escape_string($_REQUEST["loginPassword"])

wird natürlich verwendet, mir geht es mehr um di nicht standardmäßigen Sicherungsmethoden, hashen, webservice(ist unsinnig, weiß ich inzwichen).

zB soll ich die UserId in die Session schreiben, oder sollte ich die userid, kombiniert mit einer sessionid in die session und in die DB- schreiben?

Denn die Session darf aus kommerziellen zwecken nicht entführt, das Passwort nicht geknackt und die Anwendung nicht korumpiert werden.

Auch wenn die Anwendung intern laufen wird.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...