Passwort-"Schutz" mit javascript

Das Forum für Programmierer und Systemadmins. Von Shell-, Perl- und PHP-Scripts bis zur objektorientierten Programmierung mit C++.

Beitragvon hannibal218bc » Fr 05 Nov, 2004 08:57

TheProdigy hat geschrieben:Die einzig sinnvolle Möglichkeit ist IMHO die Authentifizierung des Apache-Server zu verwenden (sofern du die Möglichkeiten dazu hast). Jedenfalls ist es wesentlich einfacher und sicherer als jede Javascript-Methode.


"Sicherer"... ich würd einmal sagen, genauso sicher wie die Passwortüberprüfungen in Javascript, weil auch bei der Basic-Authentifizierung (soweit ich weiß ist derzeit keine andere implementiert) Username und Passwort im Klartext gesendet werden.

Gut, über eine sichere Verbindung... ;-)

Zum Thema "script code verstecken": alles was ein Browser (wenn auch intern) laden kann, kann man auch "per Hand" auslesen, und die Rechtsklick-Verhinder-Sites beißen sich zB an einem gut konfigurierten Firefox/Opera/Mozilla auch die Zähne aus.


lg
-h
hannibal218bc
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 382
Registriert: Mi 18 Aug, 2004 21:11
Wohnort: Wien

Beitragvon dfx » Fr 05 Nov, 2004 09:21

hannibal218bc hat geschrieben:ich würd einmal sagen, genauso sicher wie die Passwortüberprüfungen in Javascript, weil auch bei der Basic-Authentifizierung (soweit ich weiß ist derzeit keine andere implementiert) Username und Passwort im Klartext gesendet werden.


das schon, aber hier geht's ja nicht darum, daß die logindaten während der authentifizierung von dritten ausgelesen werden können (was der einzige grund ist, warum man logindaten nicht plaintext übermitteln sollte). es geht darum, daß bei javascript-authentifizierung die überprüfung der logindaten direkt im browser geschieht und der algorithmus dafür so lokal nachvollziehbar ist (mit ausnahme der "redirect-auf-passwort-punkt-html" methode, was keine echte authentifizierung ist), währenddessen bei authentifizierung über http/cgi/php die logindaten nur an den server geschickt werden und die überprüfung dann dort geschieht, wodurch man als user keinen einblick in den algorithmus hat und die authentifizierung somit als "black box" erscheint.

Zum Thema "script code verstecken": alles was ein Browser (wenn auch intern) laden kann, kann man auch "per Hand" auslesen, und die Rechtsklick-Verhinder-Sites beißen sich zB an einem gut konfigurierten Firefox/Opera/Mozilla auch die Zähne aus.


wer nicht weiß, wie er ohne browser an den source code einer webseite kommt, sollte sowieso die finger von irgendwelchen authentifizierungsschemen lassen...
xDSL unlimited 2.320 kbit/s
Bild
Bild
dfx
Board-User Level 3
Board-User Level 3
 
Beiträge: 1368
Registriert: Do 15 Jan, 2004 19:22
Wohnort: graz

Beitragvon TheProdigy » So 07 Nov, 2004 10:14

@dfx ... bin ganz deiner Meinung

Authentifizierung via .htaccess ist nur für Man-in-the-middle-Attacken anfällig, da das Passwort im Klartext übertragen wird. Eine Authentifizierung via JavaScript kann aber jeder halbwegs Versierte lokal über die vom Browser zur Verfügung gestellten Mittel knacken.

Zum Thema "script code verstecken": da sind wir eh einer Meinung - ich verstehe die Programmierer dieses Spiels auch nicht ganz, die betreiben einen Mordsaufwand, der aber im Endeffekt trotzdem unsicher ist (wie ihr es gesagt habt).
TheProdigy
Board-Mitglied
Board-Mitglied
 
Beiträge: 101
Registriert: Mi 05 Mai, 2004 10:41

Vorherige

Zurück zu PROGRAMMIER FORUM

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 22 Gäste