SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

PHP 5.3 & MySQL 5.1

PHP 5.3 & MySQL 5.1 zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP für Fortgeschrittene und Experten

PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken

Antwort
 
Themen-Optionen Ansicht
  #11  
Alt 21.02.2009, 13:21:04
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 46
Beiträge: 1.938
AW: Bruteforce verhindern (IP-Check)

Zitat:
Zitat von reinhardlange Beitrag anzeigen
beim Login-Formular ein "unsichbares Feld" mittels css einbauen und prüfen, ob etwas eingetragen wurde
das mag für spam-bots gut funktionieren, da diese - soweit ich weiss - das netz "automatisch" durchkämmen und ihren müll dort abladen, wo sie eine (bekannte) lücke finden. der markt für foren- und blog-apps wird ja auch durch einige wenige dominiert.
beim angriff auf eine konkrete anwendung hingegen wird diese (händisch) auf angriffsvektoren abgeklopft. das programm wird mit den gewonnenen informationen gefüttert und erst dann für den automatischen angriff gestartet.

bitte korrigiert mich, wenn ich daneben liege.

cx
Mit Zitat antworten
  #12  
Alt 21.02.2009, 14:15:29
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Alter: 14
Beiträge: 2.269
AW: Bruteforce verhindern (IP-Check)

Zitat:
was dieses prinzip mit den dynamischen namen der input-felder zu tun haben soll...
Wenn die Anordnung der Textfelder im Formular erhalten bleibt, ist es für einen Bot ein leichtes sie zuzuordnen, egal welche Namen sie tragen. Der Bot muß nur einmal instruiert werden. Auch kann er problemlos ein type='password' von einem type='text' unterscheiden. Das würfeln der Feldbenennungen bringt also nur herzlich wenig. Zumindest in Sachen Bruteforce Attacken. Und deinem GoogleBrowser scheint das ja auch sowieso egal zu sein.

Zitat:
das kann auch teil des sicherheistkonzeptes einer app sein. die autovervollständigung stellt immerhin ein gewisses sicherheitsrisiko dar - denk mal an öffentlich zugängliche arbeitsstationen oder nicht-privatrechner, die der user nicht selbst verwaltet.
Natürlich!
Aber da gibts ja noch das HTML5 Attribut: autocomplete="off" Leider ist es noch kein Standard, wird aber von allen Browsern verstanden.
Mit Zitat antworten
  #13  
Alt 21.02.2009, 14:37:24
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 46
Beiträge: 1.938
AW: Bruteforce verhindern (IP-Check)

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
Wenn die Anordnung der Textfelder im Formular erhalten bleibt, ist es für einen Bot ein leichtes sie zuzuordnen, egal welche Namen sie tragen.
genau das habe ich mir gedacht / befürchtet.

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
Und deinem GoogleBrowser scheint das ja auch sowieso egal zu sein.
1. das ist nicht meiner - ich teste wie jeder verantwortungsvolle entwickler mehrere clients
2. iron ist ein derivat des google-browsers "chrome"

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
Aber da gibts ja noch das HTML5 Attribut: autocomplete="off" Leider ist es noch kein Standard, wird aber von allen Browsern verstanden.
prima. es gibt auch das attribut "readonly" für input-elemente. dennoch würde sich kein vernünftiger entwickler darauf verlassen.

cx
Mit Zitat antworten
  #14  
Alt 21.02.2009, 15:36:27
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Alter: 14
Beiträge: 2.269
AW: Bruteforce verhindern (IP-Check)

Also, bevor wir und hier irgendwie "streiten", sollten wir das Problem erstmal in seine Teile zerlegen.

1. Bruteforce Attacken (Thema des Threads)
2. DAUs und ihre Formfelder (von uns eingeführt)

Ich würde lieber nur 1 hier abhandeln.
Dass HTML Attribute, egal ob Feld-Namen, Readonly oder AutoComplete gegen Bots nichts ausrichten, sollte uns doch klar sein.
Ausnahme: Google reagiert auf rel="nofollow"
Hier mal was witziges: http://googlewebmastercentral-de.blo...ormularen.html
Mit Zitat antworten
  #15  
Alt 21.02.2009, 16:21:49
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 46
Beiträge: 1.938
AW: Bruteforce verhindern (IP-Check)

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
Ich würde lieber nur 1 [Bruteforce Attacken] hier abhandeln.
dito. das thema scheint allerdings erschöpft - ich wüsste (vorerst) jedenfalls nichts mehr hinzuzufügen.

off-topic:

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
Hier mal was witziges
erkenne den witz an der sache leider nicht. das einzige, was mich amüsiert:

Zitat:
außerdem crawlen wir ausschließlich Formulare, welche die GET-Methode verwenden
google macht das schon...

cx
Mit Zitat antworten
  #16  
Alt 21.02.2009, 16:53:12
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Alter: 14
Beiträge: 2.269
AW: Bruteforce verhindern (IP-Check)

Ausserdem untersucht Google auch JavaScript und Flash nach URLs.
Das finde ich mindestens ebenso doll.
Mit Zitat antworten
  #17  
Alt 25.02.2009, 16:34:20
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 46
Beiträge: 1.938
AW: Bruteforce verhindern (IP-Check)

@ doku: würde das thema gern nochmal aufgreifen, falls du meine konsequente kleinschreibung nicht ebenso konsequent zu ignorieren gedenkst .-

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
fehlerhafte Logins werden geloggt (ohne Passwort)
wieso eigentlich nicht? BF-attacken können sich auch gegen passworte richten. nicht nur das, sie sind auch effektiver, da jede user-id eindeutig ist, ein passwort hingegen nicht (insofern die passworte nicht mit einem individuellen salt gespeichert werden).
die wahrscheinlichkeit, durch wahlloses ausprobieren einen user zu einem vorgegebenen passwort zu finden, ist mithin grösser als umgekehrt.

cx
Mit Zitat antworten
  #18  
Alt 25.02.2009, 17:35:15
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Alter: 14
Beiträge: 2.269
AW: Bruteforce verhindern (IP-Check)

Zitat:
konsequente kleinschreibung
Daraus spricht eine gewisse, nunja, nenne ich es mal Verachtung.
Aber das soll hier nicht zu Thema werden.


Deine Begründung, warum man die falschen Passwörter speichern sollte verstehe ich nicht.

Es macht doch keinen Sinn falsche Passwörter zu speichern!
Was willst du damit anstellen? Selber BF Attacken starten?
Das kann es doch nicht sein.


Mein Tipp:
Niemals irgendwo, völlig egal wo, Passwörter im Klartext speichern.
Mit Zitat antworten
  #19  
Alt 25.02.2009, 17:56:34
mgutt mgutt ist offline
Anfänger
 
Registriert seit: May 2008
Beiträge: 65
AW: Bruteforce verhindern (IP-Check)

Zitat:
Zitat von cortex Beitrag anzeigen
das mag für spam-bots gut funktionieren, da diese - soweit ich weiss - das netz "automatisch" durchkämmen und ihren müll dort abladen, wo sie eine (bekannte) lücke finden. der markt für foren- und blog-apps wird ja auch durch einige wenige dominiert.
beim angriff auf eine konkrete anwendung hingegen wird diese (händisch) auf angriffsvektoren abgeklopft. das programm wird mit den gewonnenen informationen gefüttert und erst dann für den automatischen angriff gestartet.

bitte korrigiert mich, wenn ich daneben liege.

cx
Bots sind nicht so dumm. Die lesen grundsätzlich erstmal das Formular aus und füttern ihren POST-Datensatz entsprechend.

Login-Schutz:
In phpBB beispielsweise werden die Fehlversuche in der Spalte der User-Tabelle des betreffenden Users zwischengespeichert. Ab X Fehlversuchen ist der Login dann für Y Minuten nicht mehr möglich. Das ist absolut vertretbar, auch aus Usability-Sicht. Auf die Art muss man auch keine IPs speichern. Wenn der Login erfolgreich war, werden die Fehlversuche wieder genullt.

Das klingt erstmal sicher, aber ich kann aus Erfahrung sagen, dass dieses Verfahren nicht ausreichend ist. Ich kenne die drei beliebtesten Passwörter, die im Netz eingesetzt werden und genau die könnte man dann bei jedem User jeweils einmal probieren, bevor der Account weitere Fehlversuche ablehnt. Ich habe das bereits mit eigenen Userdaten getestet. Prozentual gesehen, sind zwar nur wenige Accounts betroffen, aber möglich wäre es.

Dagegen hilft eigentlich nur eine Sperre von zu einfachen Passwörtern. Also man verlangt, dass mindestens eine Kombination aus Groß-, Kleinschrift, Zahlen und Sonderzeichen gegeben ist und die Länge mindestens 6 Stellen umfasst (zu heftige Vorgaben demotivieren, also Vorsicht).

Die Gegenseite wäre dann wirklich nur eine umfangreiche Prüfung von IP-Adressen, Cookie, Session oder was man auch immer als Filter einsetzen möchte.

Ich bin übrigens der Ansicht, dass Bruteforce auf User-Accounts selten ist. Viel mehr wird versucht FTP-, .htaccess-oder MySQL-Logins zu bruteforcen. Da lohnt es sich und vor allen Dingen kann man sich da ganz schlecht vor schützen. Aber ganz klar... einen gewissen Schutz sollte man in jedem Fall integrieren.

Geändert von mgutt (25.02.2009 um 17:58:08 Uhr)
Mit Zitat antworten
  #20  
Alt 25.02.2009, 19:52:13
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 46
Beiträge: 1.938
AW: Bruteforce verhindern (IP-Check)

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
Daraus spricht eine gewisse, nunja, nenne ich es mal Verachtung.
nee doku, keine verachtung. nenn mich arrogant - das ist ok .-

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
Deine Begründung, warum man die falschen Passwörter speichern sollte verstehe ich nicht.
szenario: jemand wählt für seinen angriff ein beliebtes pwd aus dem deutschsprachigen raum, z.b. schatzi123. nun werden beliebige user-names x-mal abgeklopft.

1. meine app hat neben der belastung durch automatisierte requests ein viel grösseres problem: auf schatzi123 findet sich irgendwann garantiert ein benutzer-konto. und wie bereits gesagt, durch

Code:
user-names : passwort = 1 : n
finde ich zu einem passwort leichter einen user als umgekehrt.

2. logge ich nur falsche passworte, kann der angreifer darauf schliessen, ob ein pwd vergeben ist oder nicht - ich verrate etwas über die daten meiner anwendung.

3. mit den user-names verhält es sich genauso. ich persönlich mache keinen grossen unterschiede zwischen user-names und passworten. ich frage mich auch, warum i.a. das gehashte speichern von passworten, aber nicht von user-names empfohlen wird. wahrscheinlich nur, um mir bei der anmeldung ein hallo user x entgegenzuwerfen.

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
Niemals irgendwo, völlig egal wo, Passwörter im Klartext speichern.
wir wollten uns auf gehobenem (fachlichen) niveau unterhalten, nicht wahr?

cx
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
upload per .htaccess verhindern webmark487 Apache HTTP-Server 2 11.02.2009 22:48:59
Formular: Erneutes Laden der Seite verhindern freebie HTML, CSS und JavaScript Help! 3 10.12.2008 18:55:58
DSL Check Pixelschubser PHP für Fortgeschrittene und Experten 5 28.04.2007 19:06:51
Zeilenumbruch in Zelle verhindern? silberlocke HTML, CSS und JavaScript Help! 7 05.04.2005 15:18:20
reloads verhindern wuerzie PHP Grundlagen 8 22.08.2003 12:35:55


Alle Zeitangaben in WEZ +2. Es ist jetzt 08:10:24 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2023, Jelsoft Enterprises Ltd.


© 2001-2023 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt