Daten vergleichen

[pyton]

Hi Leute,

ich habe noch mal ne Frage. Ich habe eine Textdatei,die sieht so aus:

klaus
admin
carola
cactus
manfres
manta
u.s.w.

Dies sind immer die Usernamen und darunter die Passwörter.

Nun habe ich ein Formular zum Einloggen.
Nach dem Abschicken wird folgendes Script aufgerufen:

$eingeloggt="of";
for($i=0;$i<count($daten);$i++)
{
if(preg_match("/$user/i",trim($daten[$i])))
{ $z=$i+1;
if($daten[$z]==$passwort)
{$eingeloggt="on";}
}}

Der User wird ja erkannt. Allerdings beim vergleichen von $daten[z] mit $passwort ] bleibt eingeloogt immer auf "of".
Ich habe mir daten[$z] und $passwort auch mal ausgegeben. Diese sind schon gleich.

Könnt Ihr mir bitte mal sagen, was ich falsch mache? Ich bin am Ende!

[Azmodan]

sry ... ich kann dir leider net sagen, was falsch ist .. aber nen kleiner tipp meiner seits ... lass das einloogen mit php, wenn du nen memberonly bereich machen willst, sperre diesen einfach mit htaccess ... ist die beste und einfachste variante!!!

[pyton]

Wieso meinst Du, sollte man ein Login nicht mit PHP machen. Ich dachte immer mit PHP ist's besonders günstig. Aber leider als Noobie auch ganz schön heftig. Ich habe das immer noch nicht hinbekommen.
Vielleicht liegt's ja auch daran, dass das Formular in einem Flashfilm ist, der wiederrum auch andere Variablen aus HtmL bekommt.

[Nev]

Hi @ll

habe da mal was geschrieben,
das ganze ist keine schöne Lösung:
*) Passwörter sind lesbar
*) Zugangsdaten sind übers Web zugänglich.
*) generell sehr unsicher

PHP-Code:

<?
  
  $pass_file = "pass.txt"; 

  settype ($pass_array, "array");
  $fpread = @fopen($pass_file, 'r'); 
  if(!$fpread) { 
      echo "Konnte Passwörter nicht laden"; 
      exit; 
  } else { 
    $lauf = 0;
    unset($user_pass);
    settype ($user_pass, "array");
    while(!feof($fpread))
    { 
      $buffer = @ltrim(Chop(fgets($fpread, 256)));
      if ($lauf%2)
      {
        $user_pass[1] = $buffer;
        array_push ($pass_array, $user_pass);
        unset($pass);
        settype ($user_pass, "array");
      } else {
        $user_pass[0] = $buffer;
      }
      $lauf++;
    }
    $eingeloggt="off"; 
    for ($lauf = 0; $lauf < count($pass_array); $lauf++)
    {
      if ($user == $pass_array[$lauf][0] && $pass_array[$lauf][1] == $passwort)
        $eingeloggt="on";
    }
    echo $eingeloggt;
  }
?>

Was macht dieses Script:
-) es liest das Passwort-File aus, wobei zuerst der User danach das Pass stehn muß
-) Speichert alle User und Passwörter in ein Array
-) vergleicht ob User und Passwort zusammen passen.

[Azmodan]

so, also ... hier ist mal ein quelltext von htaccess

Code:

AuthType Basic
AuthName "hier ne beschreibung"
AuthUserFile und hier den relativen pfad

require valid-user

so, jetzt sag mir mal, was länger und komplizierter ist?!
desweiteren ist das mit htaccess um längen sicherer

[Nev]

@Azmodan

Du hast schon recht das HTACCESS sicherer ist.

Die Benutzer-Verwaltung zu dem Ding ist ned so einfach,
da du erstens einmal schreib rechte auf das File brauchst,
bzw. das Passwort zuerst verschlüsseln must.

Ich sichere auch lieber mit HTACCESS
denn der Weg den pyton gewählt hat, ist sehr umständlich und unsicher

[pyton]

Hi,

vielen Dank an alle für Eure zahlreichen Hilfen. Ich verstehe nur nicht, dass das alles so unsicher sein soll. Ich dachte immer, dass an das PHP-Script keiner ran kommt. Wie kann man denn da die Passwörter auslesen? Ich verstehe ja, dass man übers Web die Textdateien löschen kann, aber sonst?!

Könnt Ihr mir kurz mal sagen, wo die Sicherheitslöcher sind -
und vor allem, wie man die Zugangsdaten unerlaubt auslesen kann. Danke

[Nev]

HI pyton

Wenn ich weiß, das du das ganze mittels einem Passwort-Files machst, kann ich mir das File herraus suchen und mich ganz einfach einloggen.

Wenn ich es mittels htaccess mache, gibt es zwar auch ein Passwort-File aber dort sind die Passwörter verschlüsselt.
Da dauert es schon länger bis man es knackt.

Es gibt gernerell viele Wege um einen Server bzw. eine Seite zu knacken.

[pyton]

Hi,

vielen Dank für Deine Antwort. Wie sieht das denn aus, wenn ich den Passwortfile mit "include" in das Script hole. Sieht's da etwas besser aus - sicherheitstechnisch?

Wie kann man denn das File heraussuchen? Ich denke mal, da muss man doch verdammt viel Ahnung haben, oder kann das jeder Zweite?

Das Problem liegt nicht darin, wie Du die Datei liest, sondern darin, dass das Passwort in der Datei unverschlüsselt ist und übers Internet abgerufen werden kann.

Wenn also jemand beispielsweise:

http://www.deineadresse.de/passwoerter.txt


aufruft hat er alle Passwörter samt Usernamen - nicht sehr sicher. Um das ganze sicherer zu bekommen, könntest Du die Datei außerhalb der DocumentRoot deines Server legen. PHP kann dann immer noch darauf zugreifen, allerdings ist die Datei nicht mehr vom Internet aus zu erreichen.