Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

sicheres loginformular

uthred
in Skript- und Webserverprogrammierung

Empfohlene Antworten

Veröffentlicht

Hi,

Ich würde gerne wissen ob mein Plan eines Login-formulars sicher ist, oder ob ich es nochmal überarbeiten sollte.

Ich habe vor:

Username+Passwort abfragen,

Passwort md5 verschlüsseln über Webservice mit Datenbank abgleichen.

für das anmelden:

Username, Passwort(mit JQUERY Passwort strength meter) das ganze verschlüsseln mit md5 und über webservice in die Datenbank schreiben.

Code habe ich noch keinen.

Grüße uthred

  • Autor

Ok, danke für den Hinweis. Jedoch muss ich es verwenden, da mein Ausbilder es so verlangt und es noch für sicher genug hält. Der Webservice ist auch unsinnig, also bleibt nur die gute alte Methode der einfachen Datenbankabfrage ;)

Das klingt sowas von unprofessionell. Nicht-MD5-HashFunktionen sind nicht aufwendiger zu implementieren, wenn es nicht schon implementiert ist, und du kommst mit der Begründung betriebsinterne Anwendung.

Da kannst du gleich das Passwort in Klartext abspeichern... ist ja nur eine betriebsinterne Anwendung.

Wenn du bei mir im Betrieb wärst, dann würde ich dich ab diesem Zeitpunkt nicht mehr ernst nehmen. Aber das kann dir ja egal sein.

  • Autor

Naja dann dürfte ich meinen cheffe nicht mehr ernst nehmen, denn er hat es mir so gesagt( nur betriebsinterne anwendung etc.) , als ich ihm erklären wollte, dass es unsicher ist. Nehme ich meinen Chef nicht mehr ernst, dann ist nicht nur mein Login-Formular unsicher, sondern auch mein Job.

Ich könnte ja das Passwort erst md5 hashen/verschlüsseln und dann dieses gehashte passwort nochmal mit sha-2 hashen.

Dann sind beide Seiten zufrieden, mein Chef weil ich md5 nach seinen Anweisungen verwendet habe und die Sicherheitsbeauftragten, weil es mit modernen hash-methoden bearbeitet wurde.

  • Autor

mysql_real_escape_string($_REQUEST["loginPassword"])

wird natürlich verwendet, mir geht es mehr um di nicht standardmäßigen Sicherungsmethoden, hashen, webservice(ist unsinnig, weiß ich inzwichen).

zB soll ich die UserId in die Session schreiben, oder sollte ich die userid, kombiniert mit einer sessionid in die session und in die DB- schreiben?

Denn die Session darf aus kommerziellen zwecken nicht entführt, das Passwort nicht geknackt und die Anwendung nicht korumpiert werden.

Auch wenn die Anwendung intern laufen wird.

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.