uthred Geschrieben 23. Oktober 2012 Geschrieben 23. Oktober 2012 Hi, Ich würde gerne wissen ob mein Plan eines Login-formulars sicher ist, oder ob ich es nochmal überarbeiten sollte. Ich habe vor: Username+Passwort abfragen, Passwort md5 verschlüsseln über Webservice mit Datenbank abgleichen. für das anmelden: Username, Passwort(mit JQUERY Passwort strength meter) das ganze verschlüsseln mit md5 und über webservice in die Datenbank schreiben. Code habe ich noch keinen. Grüße uthred Zitieren
flashpixx Geschrieben 23. Oktober 2012 Geschrieben 23. Oktober 2012 MD5 ist keine Verschlüsselung, sondern ein Hash-Verfahren und zusätzlich sollte man es nicht mehr verwenden ( Message-Digest Algorithm 5 ) Zitieren
uthred Geschrieben 23. Oktober 2012 Autor Geschrieben 23. Oktober 2012 Ok, danke für den Hinweis. Jedoch muss ich es verwenden, da mein Ausbilder es so verlangt und es noch für sicher genug hält. Der Webservice ist auch unsinnig, also bleibt nur die gute alte Methode der einfachen Datenbankabfrage Zitieren
Aras Geschrieben 23. Oktober 2012 Geschrieben 23. Oktober 2012 Warum nicht sha2? Und das mit einem Salt. Zitieren
uthred Geschrieben 23. Oktober 2012 Autor Geschrieben 23. Oktober 2012 Weil es nur eine interne Betriebsinterne-Anwendung ist und dafür md5 komplett ausreicht Zitieren
Aras Geschrieben 23. Oktober 2012 Geschrieben 23. Oktober 2012 Das klingt sowas von unprofessionell. Nicht-MD5-HashFunktionen sind nicht aufwendiger zu implementieren, wenn es nicht schon implementiert ist, und du kommst mit der Begründung betriebsinterne Anwendung. Da kannst du gleich das Passwort in Klartext abspeichern... ist ja nur eine betriebsinterne Anwendung. Wenn du bei mir im Betrieb wärst, dann würde ich dich ab diesem Zeitpunkt nicht mehr ernst nehmen. Aber das kann dir ja egal sein. Zitieren
uthred Geschrieben 23. Oktober 2012 Autor Geschrieben 23. Oktober 2012 Naja dann dürfte ich meinen cheffe nicht mehr ernst nehmen, denn er hat es mir so gesagt( nur betriebsinterne anwendung etc.) , als ich ihm erklären wollte, dass es unsicher ist. Nehme ich meinen Chef nicht mehr ernst, dann ist nicht nur mein Login-Formular unsicher, sondern auch mein Job. Ich könnte ja das Passwort erst md5 hashen/verschlüsseln und dann dieses gehashte passwort nochmal mit sha-2 hashen. Dann sind beide Seiten zufrieden, mein Chef weil ich md5 nach seinen Anweisungen verwendet habe und die Sicherheitsbeauftragten, weil es mit modernen hash-methoden bearbeitet wurde. Zitieren
SynonymOfGod Geschrieben 24. Oktober 2012 Geschrieben 24. Oktober 2012 nein es ist nicht sicher, stichwort SQL-Injection.... SQL-Injection Zitieren
uthred Geschrieben 24. Oktober 2012 Autor Geschrieben 24. Oktober 2012 mysql_real_escape_string($_REQUEST["loginPassword"]) wird natürlich verwendet, mir geht es mehr um di nicht standardmäßigen Sicherungsmethoden, hashen, webservice(ist unsinnig, weiß ich inzwichen). zB soll ich die UserId in die Session schreiben, oder sollte ich die userid, kombiniert mit einer sessionid in die session und in die DB- schreiben? Denn die Session darf aus kommerziellen zwecken nicht entführt, das Passwort nicht geknackt und die Anwendung nicht korumpiert werden. Auch wenn die Anwendung intern laufen wird. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.