[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
Passwort lokal verschlüsseln - REDAXO Forum
Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Antworten
dikss
Beiträge: 1
Registriert: 9. Okt 2014, 10:26

Passwort lokal verschlüsseln

9. Okt 2014, 11:16

Hallo,
es erstaunt mich immer wieder, dass bei der Diskussion über Passwortverschlüsselung kaum jemand darüber spricht, wie Passworte gesichert durchs Netz kommen könnten. Es hat ja nicht jeder HTTPS im Einsatz.

Man muss sich nur bewusst machen, dass der 'submit' einer Form ungefiltert durchs Netz geht und schon mit einem freien Sniffer ausgelesen werden kann. Ich habe dies mit dem Community-Demo-Login geprüft.

Als Lösung bietet sich m.E. folgendes an:
  • In der Form existiert ein 'hidden field'
    das eingebene Passwort wird lokal mit Javascript verschlüsselt
    und im 'hidden field' gespeichert
    der Wert im Passwortfeld wird vor der Übertragung gelöscht
    auf der Serverseite werden nur die verschlüsselten Passworte verglichen
Bei Registrierung und Passwortänderung ist ähnlich vorzugehen.
Da die Passworte bereits verschlüsselt sind, werden sie als 'plain-text' in der DB gespeichert.

LG
Rudi
Benutzeravatar
Jan.Kristinus
Admin
Beiträge: 2166
Registriert: 24. Aug 2004, 22:11
Wohnort: Frankfurt
Kontaktdaten: ICQ Website

Re: Passwort lokal verschlüsseln

9. Okt 2014, 12:09

Danke für den Hinweis.

Solche Issues sind am besten bei
https://github.com/yakamara/redaxo_community
oder
https://github.com/redaxo/redaxo4
aufgehoben, weil es sein kann, dass es hier untergeht.

In der Tat sollte man https verwenden und ja, wenn man das nicht hat, kann man mit einen Sniffer das übertraegene Passwort ermitteln. Der Loginschutz wird aber mit der Javascriptverschluesselung nicht besser, weil man sich ja auch damit einloggen kann, aber zumindest ist dann ein passwort nicht als klartext erkennbar und es passiert ja häufig, dass man dieses passwort auch auf anderen plattformen verwendet. Das Community-AddOn benutzt die REDAXO Loginprozedur, d.h. es gilt das Gleiche für diese beiden Loginprozesse.

D.h. Wenn man kein https hat, sollte man sich für jede Seite ein einzigartiges Passwort wählen.

Wenn Du das weiterdiskutieren willst, dann gerne auf github, dann werden es die anderen Entwickler auch mitlesen können..

lg

Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Antworten

Zurück zu „Allgemeines [R4]“