SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

TYPO3 Kochbuch

TYPO3 Kochbuch zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP für Fortgeschrittene und Experten

PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 21.04.2003, 16:41:47
Benutzerbild von Swordfish
Swordfish Swordfish ist offline
Anfänger
 
Registriert seit: Apr 2002
Beiträge: 46
Login-Script mit Benutzersperrung

Hi @ll

Ich möchte ein möglichst sicheres Login-Script schreiben, habe zu diesem Thema nichts im Forum gefunden und bräuchte noch ein paar Denkanstösse...


Wenn Usernamen und Passwort stimmen, ist das Ganze ja kein Problem, aber ich möchte (absichtliche) Falscheingaben möglichst eindämmen und suche nun nach einer Methode, wie ich einen beliebigen Surfer nach drei Fehleingaben sperren kann und zwar auf zwei verschiedene Arten:


1) Wenn der User wirklich in der DB vorhanden ist, kann ich ihn dort auch sperren. Die Frage ist eher, wie ich das Hochzählen bis zum 3. falschen Login am besten mache... Ist ein Feld "fehlgeschlagene Logins" in der DB sinnvoll, das jedesmal um 1 erhöht wird oder soll ich die Anzahl falscher Logins besser in die Sessions-Variabeln aufnehmen? (Oder gibt es noch eine bessere Methode?)

2) Wenn der User gar nicht in der DB exisitiert und einfach einer versucht reinzukommen, wird das Ganze etwas mühsamer. Mit einer Session erkenne ich ihn zwar während der 3 Falscheingaben aber wie erkenne ich ihn beim nächsten Versuch? Setze ich ein Cookie, kann der Surfer diesen löschen und steht wieder mit "reiner Weste" da. Die IP kann ich schlecht blockieren, da ja mehrere DSL-Surfer z.B. sich eine IP teilen und ich nur den einen blockieren möchte. Die Session kann ich ja auch nicht ewig laufen lassen... Gibt es noch andere (oder ausgeklügeltere) Methoden, solch einen User wiederzuerkennen?


htacces habe ich leider (noch) nicht auf dem Server, dort würde das Abblocken nach 3 Falscheingaben ja funktionieren, allerdings kann man dort auch mehr oder weniger beliebig oft wieder einen Versuch unternehmen (einfach nach 3 falschen Eingaben die Seite neu laden), es ist also auch nicht so das Gelbe vom Ei...
__________________
thx @ all!


Swordfish
Mit Zitat antworten
  #2  
Alt 21.04.2003, 17:15:34
c4 c4 ist offline
SELFPHP Guru
 
Registriert seit: Jul 2002
Ort: Oberursel
Alter: 50
Beiträge: 4.748
Absolute Sicherheit gibt es nicht, das sollte klar sein.

Bei GMX ist/war es so, dass nach 3 Fehleingaben eine andere Sicherheitsabfrage kam. Dann musste man die Antwort auf eine selbst gestellte Frage geben und kam dann damit rein.
Du könntest den Nutzer halt nach 3 Fehleingaben komplett sperren und selbiger muss sich dann beim Admin melden, um wieder aktiviert zu werden. Das ist aber nicht sonderlich fein, da dann nur einer ein Skript starten muss, dass alle Nutzerkonten durchgeht und überall 3 fehlerhafte Logins verursacht...

Da die Anzahl Versuche im Quelltext der Website leicht manipulierbar ist, sollte man schon eine DB dafür verwenden.

Auf Cookies würde ich nicht bauen. Zu leicht zu löschen oder sie werden gar nicht erst angenommen.

Also bleibt Dir nur eine IP-Sperre. Brute-Force-Attacken fallen somit schon mal aus - die wenigsten sind in der Lage eine falsche IP zu übermitteln und aus- und wieder einloggen ist der Mühe wohl kaum wert.
Die paar ICS' kannst Du in den Skat drücken. Die Wahrscheinlichkeit, dass das mal passiert ist zu gering.
__________________
sic!
--> http://dbCF.de/
Mit Zitat antworten
  #3  
Alt 21.04.2003, 20:47:00
Benutzerbild von Swordfish
Swordfish Swordfish ist offline
Anfänger
 
Registriert seit: Apr 2002
Beiträge: 46
Das mit der absoluten Sicherheit ist halt so ne Sache, darum habe ich "möglichst sicher" geschrieben :)

Ich könnte ja nach 3 Versuchen den Benutzer und die IP sperren, dies würde eine Script-Attacke (,abgesehen davon, dass der Script-Auslöser alle erdenklichen Benutzernamen ausprobieren müsste, es also ein relativ "kluges" Script sein müsste, wenn der Auslöser nicht die nächsten paar Jahre auf Resultate warten möchte,) auch schon schwieriger machen. Wäre zwar eine Holzhammer-Methode, aber relativ effektiv...

Oder dann doch die GMX-Methode, hmmm... auf jeden Fall mal danke, werde mich noch für eine Methode entscheiden müssen...
__________________
thx @ all!


Swordfish
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 03:54:19 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.


© 2001-2020 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt