• Tink
  • devshare.de Team
  • Offline
  • Herkunft: München
  • Registrierungsdatum: 18-05-2001
  • Beiträge: 1.398

Thema: Sicherheit auf 360degrees

Hi zusammen!

In Anlehnung an gi´s OK, das Thema auf Devshare zu diskutieren, gibt´s hier den neuen Thread.
Ursprung was der hier:
http://www.devshare.de/cgi-bin/ubb/ulti … 0;t=000509
aber da es ja primär um Sicherheitsaspekte geht, fand ich den PHP/MySQL-Thread unpassend.

So, nun zur Lücke:
gi hat mir gesagt, die Autentifizierung würde so geschehen dass geprüft würde, ob ein Cookie da ist, welcher Username da gespeichert ist und (so wie ich es verstanden habe) das PW in dem Cookie, zum Usernamen im Cookie passt.
Danach würde nix mehr geprüft.
Alles was ich nun gemacht habe, war, mir ein gültiges Profil zu holen (tester), und mich eingeloggt.
Nun habe ich mir das Formular zum �ndern des Profils kopiert und auf meinen Server geladen (und das Input-Feld für den Usernamen von hidden auf Text gesetzt).
Nun nur noch nen anderen Usernamen ins Textfeld geschrieben, abgeschickt und fertig...

Lasst uns nun also ein sichereres Konzept für gi finden  <img border="0" title="" alt="[Lächeln]" src="images/icons/smile.gif" />
Schlage folgendes vor:
- Wenn der Username aus dem Cookie schon vorhanden ist, muss er ja nicht nochmal übermittelt werden.
- die Eingabe des alten PWs wird eingebaut, damit muss das alte PW mit dem PW aus der Datenbank (nicht dem Cookie) übereinstimmen UND das neue PW muss mit der PW-Wiederholung (das übliche halt) übereinstimmen.

Ich glaube das erhöht die Sicherheit drastisch  <img border="0" title="" alt="[Lächeln]" src="images/icons/smile.gif" />

GruÃ?, tink

Beleidigungen sind die Argumente derer, die keine Argumente haben

Tink's Webseite

2 Antwort von gi

  • gi
  • Mitglied
  • Offline
  • Herkunft: kv2k (Freilassing
  • Registrierungsdatum: 19-11-2001
  • Beiträge: 571

Re: Sicherheit auf 360degrees

Hi Tink!

Danke!
Aber meinen Uname hast du nicht gändert, oder?

   </font><blockquote><font size="1" face="Verdana, Helvetica, sans-serif">Zitat:</font><hr /><font size="2" face="Verdana, Helvetica, sans-serif"> - Wenn der Username aus dem Cookie schon vorhanden ist, muss er ja nicht nochmal übermittelt werden. </font><hr /></blockquote><font size="2" face="Verdana, Helvetica, sans-serif">Also soll ich einfach den Usernamen aus dem Cookie nehmen?!

gi
 
  <small>[ 30-12-2002, 15:06: Beitrag editiert von: gi ]</small>

Nun freilich starren Sinnes zu behaupten, daß das, was ich gesprochen habe, auch unbedingte Wahrheit sei, das schickt sich nicht für einen, der zu denken pflegt. - Platon

gi's Webseite

3 Antwort von Tink

  • Tink
  • devshare.de Team
  • Offline
  • Herkunft: München
  • Registrierungsdatum: 18-05-2001
  • Beiträge: 1.398

Re: Sicherheit auf 360degrees

Deinen Uname brauchte ich ja auch nicht zu ändern   <img border="0" title="" alt="[Lächeln]" src="images/icons/smile.gif" /> 
Ging ja nur darum, dass Dein Update auf den Usernamen losgeht, der durch das Formular übermittelt wird, und es dadurch möglich wird, einen anderen User zu bearbeiten als den, der eigentlich (durch den Cookie) bearbeitet werden müsste. (Oki, war ziemlich leicht, da ich das Query gesehen hab aus dem Update-Thread), aber man könnte auch draufkommen, indem man sich nur den Quelltext des Formulars ansieht und feststellt:
"Hoppla, da wird ja hidden mein Username mitgeschickt". Und daraufhin ein ähnliches Formular zusammenstellt wie ich es getan habe.

GruÃ?, tink

[edit]
UPDATE:
Was immer geändert wurde, ich konnte jetzt mit einem neuen Profil sowohl Dein "gi"-Profil, als auch das "tester" Profil in einem Aufwasch überschreiben (mit Unamen-�nderung, was ja schon gleich 10 mal nich gehen sollte, oder?)

GruÃ?, tink
...der noch zum Cracker wird   <img border="0" title="" alt="[Winken]" src="images/icons/wink.gif" />    <img border="0" title="" alt="[Breites Grinsen]" src="images/icons/grin.gif" /> 
[/edit]
 
  <small>[ 30-12-2002, 16:52: Beitrag editiert von: Tink ]</small>

Beleidigungen sind die Argumente derer, die keine Argumente haben

Tink's Webseite

4 Antwort von gi

  • gi
  • Mitglied
  • Offline
  • Herkunft: kv2k (Freilassing
  • Registrierungsdatum: 19-11-2001
  • Beiträge: 571

Re: Sicherheit auf 360degrees

Hi Tink!

Also, nochmal danke!
Ich glaube, ich habs jetzt!

Kannst dus bitte nochmal probieren?!

Grüsse
-- gi

Nun freilich starren Sinnes zu behaupten, daß das, was ich gesprochen habe, auch unbedingte Wahrheit sei, das schickt sich nicht für einen, der zu denken pflegt. - Platon

gi's Webseite

5 Antwort von Tink

  • Tink
  • devshare.de Team
  • Offline
  • Herkunft: München
  • Registrierungsdatum: 18-05-2001
  • Beiträge: 1.398

Re: Sicherheit auf 360degrees

Hi gi,

sorry für die späte Meldung, bin im Gothic2-Fieber  <img border="0" title="" alt="[Lächeln]" src="images/icons/smile.gif" />

Hab mir grad wieder ein Profil angelegt (tester) und meine Crack-Seite benutzt (tink.de/crack.html)  <img border="0" title="" alt="[Lächeln]" src="images/icons/smile.gif" />

Daraufhin hat´s 3 Profile bei 360degrees zerlegt *harhar*
Also da scheint noch n Wurm drin zu sein wenn Du mich fragst.
Mit "ups" konnte ich den User "bla" auch ändern.
Mal geht´s, mal geht´s nicht..

GruÃ?, tink

*zurück nach Khorinis*  <img border="0" title="" alt="[Lächeln]" src="images/icons/smile.gif" />

Beleidigungen sind die Argumente derer, die keine Argumente haben

Tink's Webseite

6 Antwort von gi

  • gi
  • Mitglied
  • Offline
  • Herkunft: kv2k (Freilassing
  • Registrierungsdatum: 19-11-2001
  • Beiträge: 571

Re: Sicherheit auf 360degrees

Hi Tink!

Danke, ich hab jetzt den Fehler: Ich hab ja alles nochmal umstrukturiert, aber vergessen, das alte aus der option.php rauszuschmeissen. Geändert wird jetzt normal alles über profil.php. Jetzt isses raus, jetzt sollte es nicht mehr gehen!

Danke!
-- gi

Nun freilich starren Sinnes zu behaupten, daß das, was ich gesprochen habe, auch unbedingte Wahrheit sei, das schickt sich nicht für einen, der zu denken pflegt. - Platon

gi's Webseite

7 Antwort von Tink

  • Tink
  • devshare.de Team
  • Offline
  • Herkunft: München
  • Registrierungsdatum: 18-05-2001
  • Beiträge: 1.398

Re: Sicherheit auf 360degrees

Jo, jetzt sieht´s gut aus  <img border="0" title="" alt="[Lächeln]" src="images/icons/smile.gif" />
Zumindest konnte ich mit meiner Datei weder über die option.php noch über die profil.php was ändern was nicht zu dem eingeloggten Mitglied gehört.

Oki, dann noch viel Erfolg!

tink

Beleidigungen sind die Argumente derer, die keine Argumente haben

Tink's Webseite

8 Antwort von gi

  • gi
  • Mitglied
  • Offline
  • Herkunft: kv2k (Freilassing
  • Registrierungsdatum: 19-11-2001
  • Beiträge: 571

Re: Sicherheit auf 360degrees

Hi Tink!

Danke!
Ich hoffe, es geht, und ich programmiere kein neues "Windows"..

Grüsse  <img border="0" title="" alt="[Lächeln]" src="images/icons/smile.gif" />
-- gi

PS: It's not a bug, it's a feature!  <img border="0" title="" alt="[Winken]" src="images/icons/wink.gif" />

Nun freilich starren Sinnes zu behaupten, daß das, was ich gesprochen habe, auch unbedingte Wahrheit sei, das schickt sich nicht für einen, der zu denken pflegt. - Platon

gi's Webseite