xDSL.at

[justmike]

hoffentlich seids ihr euch nicht zu schad für eine scriptsprache...*g*
aber ich wollt mal in die runde fragen, wie "sicher" ein javascript-passwort schutz ist, der die eingabe des users an die *.htm endung dranhängt und den user somit nur dann an die geheime site weiterleitet, wenn dieser den genauen namen von dieser kennt.

kann man den namen dieser site ausser mit probieren noch irgendwie herausfinden? gibt es vielleicht eine möglichkeit, sich den inhalt eines verzeichnisses auf dem server anzuschauen, trotz index.htm-datei?

all the best,
mike.

[hannibal218bc]

wie "sicher" ein javascript-passwort schutz ist, der die eingabe des users an die *.htm endung dranhängt und den user somit nur dann an die geheime site weiterleitet, wenn dieser den genauen namen von dieser kennt.

Naja, der Passwortschutz ist genausogut wie wenn Du ohne Javascript hinschreibst, "tippe $Passwort und .html in die Adresszeile ein", oder halt schöner formuliert

Es gibt - wenn der Webserver schlecht konfiguriert ist oder Bugs hat - durchaus Wege, ein Directory Listing zu bekommen.
Auf einem gut konfigurierten, bug-losen Webserver sollte das jedenfalls nicht gehen, wenn es nicht gewollt ist.

Bedenke aber, dass jedermann auf die passwortgeschützte Seite verlinken kann, und wenn einer einmal so einen Link gesetzt hat, dann ist Dein geheimer Inhalt -- wenns blöd geht -- gleich einmal im Google zu finden, oder noch besser, im Google Cache abgespeichert.
Trotzdem solltest Du nicht in der robots.txt vermerken wie die geheime Seite heißt, und dass sie tabu ist..


lg
-h

[justmike]

und welche wege gibt es, einem schlecht konfigurierten webserver ein directory listing zu entlocken?
bzw. wie kann man jetzt feststellen, ob der eigene host sicher aufgesetzt ist?

all the best,
mike

[adsl]

Machs mit Flash!
Ist glaube ich sicherer!

LG

[hannibal218bc]

Machs mit Flash!
Ist glaube ich sicherer!
LG

Kannst Du das irgendwie argumentativ untermauern???

und welche wege gibt es, einem schlecht konfigurierten webserver ein directory listing zu entlocken?
bzw. wie kann man jetzt feststellen, ob der eigene host sicher aufgesetzt ist?

Zuerst finde heraus, um welche Web-Server-Software es geht, und dann frage am besten dort: weiter.


lg,
-h

[justmike]

es is ein apache 1.3.20 auf suse linux. google hat mir bis jetzt nicht wirklich weitergeholfen.
any help for me?

lg,
mike.

[dfx]

wenn du die berechtigungen des verzeichnis richtig setzt, ist ein dir listing (mit ausnahme höherer gewalt) unmöglich. also zb ein chmod 711 aufs dir (wobei owner != user des apache sein muß) und schon is die sache gegessen... zusätzlich kannst du eine leere index.html dort rein stellen.

[nauti]

Hallo,
ich konnte mir jetzt nicht den ganzen Thread durchlesen, weil ich im Stress bin aber ich weiß um was es geht.

ich habe mal ein kleines script gemacht. Vielleicht brauchts wer:

Code: Alles auswählen

<script>
function submitentry(){
var password = document.password1.password2.value.toLowerCase();
var username = document.password1.username2.value.toLowerCase();
var passcode = 1;
var usercode = 1;

for(i = 0; i < password.length; i++)
{
   passcode *= password.charCodeAt(i);
}
for(x = 0; x < username.length; x++)
{
   usercode *= username.charCodeAt(x);
}
if(usercode == 129565325 && passcode == 148060224)
{
   window.location=password+"secure.html"
} else {
   alert("password/username combination wrong. Please try again.")}
}
</script>
<form name="password1">
  <font color="#FFFFFF" size="2" face="Arial, Helvetica, sans-serif"><strong><b><font color="#000000">Enter username:</font></b> </strong> <font color="#000000">
  <input type="text" name="username2" size="15" value="">
  <br>
  <strong><b>Enter password:</b> </strong> </font>
  <input type="password" name="password2" size="15">
  <input type="button" value="Submit" onClick="submitentry()" name="button">
  </font>
</form>


user: seas
pass: huhu

Noch zur Sicherheit: es ist glaub ich etwas mühsamer ihn zu knacken. Glaub ich zumindest *G*

[hannibal218bc]

Noch zur Sicherheit: es ist glaub ich etwas mühsamer ihn zu knacken. Glaub ich zumindest *G*

Sicherer als ein Redirect auf $password.".html" ist es auch nicht -- warum auch? Im Endeffekt machst Du ja auch nix anderes.

Besser wäre es vermutlich, die Codes als MD5-Hashes abzulegen statt durch Multiplikation...


lg,
-hannes

PS.: Wenn man die "Codes" faktorisiert, erhält man zB. 148060224 = 2.2.2.2.2.2.3.3.3.3.13.13.13.13 , da Du nur lowercase zulässt müssen alle charcodes von 65-90 liegen (wenns nur a-z ist), damit sind die Kombinationsmöglichkeiten schon eher wenige.

[lordpeng]

>Besser wäre es vermutlich, die Codes als MD5-Hashes abzulegen statt durch Multiplikation...

100%iges ACK nur dumm dass javascript wohl kaum crypt() wie man's bei perl findet unterstützten wird ... d.h. man müssts selber stricken ... oder halt auf was im internet wie z.b. das http://pajhome.org.uk/crypt/md5/md5.js zurückgreifen ...

trotzdem würd ich sagen, wenns sicher sein soll, würd ich auf javascript komplett verzichten weil man ja immer sieht was da vor sich geht ...

[hannibal218bc]

100%iges ACK nur dumm dass javascript wohl kaum crypt() wie man's bei perl findet unterstützten wird

crypt() verwendet ein anderes - älteres, schwächeres - Verfahren als MD5.


lg
-h

[hannibal218bc]

100%iges ACK nur dumm dass javascript wohl kaum crypt() wie man's bei perl findet unterstützten wird

crypt() verwendet ein anderes - älteres, schwächeres - Verfahren als MD5.

Aktuell würde man vermutlich SHA1 oder sonstwas aus dem AES-Standard für kryptografisch ordentliche Implementierungen verwenden.


lg
-h

[lordpeng]

>crypt() verwendet ein anderes - älteres, schwächeres - Verfahren als MD5.

also hier verwendets definitiv MD5 und das schon recht lange, da ich linux-benutzerkonten mit einem selbstgebauten perl-script einfüge

[dfx]

also das standard crypt() ist das alte DES crypt: 2 zeichen salt plus 11 zeichen hash. neuere versionen dieser funktion unterstützen auch andere verfahren, eben zb md5, aber das sind erweiterungen der funktion.

[TheProdigy]

Alles was in Javascript programmiert ist, kann man nachvollziehen, da immer der gesamte Sourcecode lokal vorhanden ist. Die einzige Schwierigkeit besteht im Erraten einer richtigen Benutzereingabe, d.h. ein Wert, der eine existierende Seite ergibt.

Man kann es aber dem Anwender auch erschweren, den Javascript-Source zu erhalten - z.B. das Online-Spiel http://www.gw-2nd.de verwendet derartige Tricks (wie sie genau funktionieren, weiss ich allerdings auch nicht). Jedenfalls erfolgt bei Aufruf "View page source" des Browsers ein erneuter Serverzugriff, der abgefangen wird (hab es mit IE, Opera und Mozilla probiert - mit Hilfe von Venkman war es dann aber auch kein Problem mehr *g*).

Die einzig sinnvolle Möglichkeit ist IMHO die Authentifizierung des Apache-Server zu verwenden (sofern du die Möglichkeiten dazu hast). Jedenfalls ist es wesentlich einfacher und sicherer als jede Javascript-Methode.

HTH