Neuigkeiten:

moziloCMS verwendet Cookies. Wenn Sie auf unserer Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu Datenschutzerklärung
moziloCMS Layouts
moziloCMS Plugins

Hauptmenü

Mozilo Sicherheitsproblem

Begonnen von MarcAurel, 17. März 2016, 20:43:20

« vorheriges - nächstes »

MarcAurel

Zitat von: laborix am 25. März 2016, 12:10:39


moziloCMS ist eine kleine Community, hier geht das nicht so hoppla hopp.

Entschuldigung,  das habe ich nicht gewusst. :)

Ich  finde Mozilo trotzdem ein großartiges Werkzeug, mir ist noch nicht ganz klar von wem es entwickelt wurde und ob noch jemand dran ist.

MarcAurel

Zitat von: laborix am 25. März 2016, 12:10:39

hier geht das nicht so hoppla hopp.
Noch eine Bitte, könntest du mich bitte aufhellen, wie "geht es hier"?
Was war falsch und wie könnte man es besser machen?

Gibt es eine vernunftige Möglichkeit Mozilo weiter zu entwickeln?
Darf mn keine Vroschläge machen , da je umsonst ist, oder kann man irgendwie doch  zu Mozilo beitragen?

laborix


Thorstn

In puncto "Sicherheit und Programmierung" bin ich ein ausgewiesener DAU.

Von daher sei mir eine Frage erlaubt:

Kann denn mit den von MarcAurel beschriebenen Möglichkeiten eine "Sicherheit" auch ohne https funktionieren?

Wie gesagt, ich kenne mich damit nur rudimentär bis noch weniger aus...

Gruß,
Thorsten
www.mad-it.de - Wir lösen keine Probleme. Wir machen sie.
Webdesign aus Bochum

MarcAurel

#19
Zitat von: laborix am 25. März 2016, 10:00:33

SSL funktioniert in moziloCMS 2.0 wenn auf dem Webspace SSL aktiviert ist.

Mehr als 75% aller Privatnutzer haben SSL nicht in ihrem Webspace Vertrag. Um SSL auf dem Webspace nutzen zu können muss das extra für mehr Geld erworben werden.


Wenn du meinen Beitrag zu dem hier antwortest nochmals aufmerksamer lesen würdest, würdest du vielleicht feststellen, dass ich auch nichts anderes dort schreibe.
Aber vielleicht habe  ich mich  etwas zu ... intrinsèque (intrinsisch) ausgedruckt ?  :)

MarcAurel

Zitat von: Thorstn am 29. März 2016, 23:12:08
Wie gesagt, ich kenne mich damit nur rudimentär bis noch weniger aus...


Hallo Thorsten,

ich werde versuchen es einfacher zu er klären.
Dein Passwort wir von Mozilo mit einem einfachen veralteten Algorithmus (aber das ist nicht das Problem), aber auf dem Server des Providers, in der Datenbank(Textdatei) verschlüsselt.
Bei der Anmeldung, um das Passwort überprüft zu werden, schickt deine  ,,Oberfläche" ( der Client, Front-End)  von Mozilo dies zu dem Server, aber im Klartext:

User: thorstn
Passwort: thorstn

Und somit ersichtlich für jeden der etwas neugierig ist und den Know-how besitzt, ob ein neugieriger  Nachbar durch geknackten WLAN, in öffentlichen WLAN-Netze , bei der Arbeit usw.
Das Verfahren das ich vorgeschlagen habe (hashen mit SHA256), verschlüsselt das Passwort direkt auf deinem Rechner/Smartphone, bevor es versendet wird und verschickt es dann so:

User: thorstn
Passwort: ee5b4571f17d99f034fca5fbe8bb1fe30754ed4d7afb1086c126808f4458e531

Und damit kann ein ,,Spion" wenig anfangen, besonders wenn dein Passwort länger wäre.
Entgegen manchen Meinungen hier, SHA256 ist sicher, es gibt keine Rainbow-tables dafür, für Passwörter länger als 8 Buhstaben.
Bitcoin, wenn es dir ein Begriff ist, benutzt auch SHA256 im Header. Wenn irgendwann hören solltest dass dies geknackt wurde, dann ist ,,unser Verfahren" hier auch unsicher...
Es ist sehr einfach anzuwenden und mit noch ein wenig Aufwand dazu, man könnte es ,,Bombensicher" machen, mit einer doppelte Kombination UserName/Password oder mit SHA3.

Gruß

laborix

Zitat von: MarcAurel am 30. März 2016, 20:21:14... Aber vielleicht habe  ich mich  etwas zu ... intrinsèque (intrinsisch) ausgedruckt ?  :) 
Nein, ungeduldig er ist. Nach Erlebnissen er strebt (Joda)

Sorry, nimm's gelassen...

laborix

Zitat von: MarcAurel am 30. März 2016, 20:26:25...
User: thorstn
Passwort: ee5b4571f17d99f034fca5fbe8bb1fe30754ed4d7afb1086c126808f4458e531

Und damit kann ein ,,Spion" wenig anfangen,  ...
Irgendwie ein interessantes Thema, auch in anderen Foren. Siehe in etwa die gleiche Fragestellung hier:
http://www.php.de/forum/webentwicklung/php-einsteiger/php-tipps-2008/46896-passwörter-verschlüsselt-übertragen

Bitte dort mal den Beitrag #9 und Beitrag #12 anschauen, da wird auch das Mitlesen von Anderen gut angesprochen.

MarcAurel

Zitat von: laborix am 31. März 2016, 12:25:05

Bitte dort mal den Beitrag #9 und Beitrag #12 anschauen, da wird auch das Mitlesen von Anderen gut angesprochen.

Die beiden haben eigentlich keine Ahnung wovon sie schreiben.
Ich möchte den sehen der sich "mit dem Hash" einlogen kann. ;D

MarcAurel

#24
Hallo laborix,
du kannst diese Anmeldung die sicher ist (sicherer auf jedem Fall als jetzige)   hier in AccessControl  testen .
Bei der erfolgreichen Anmeldung bekommst du eine weitere Test-Kategorie (Gesichert) zu sehen.

User: Testmann
Passwort: Testmann2016

Wenn du die Anmeldung mit einem Sniffer loggen würdest siehst du so etwas:
ac_password_hash=984cacc0248c206fd37d2d2e129d5c5f001e86e22ebe8f0f894205c7da502a18&ac_user=Testmann&ac_password=984cacc0248c206fd37d2d2e129d5c5f001e86e22ebe8f0f894205c7da502a18&ac_action=login - 871

Schaltest du an deinem Browser JavaScript ab (login unsicher), bekkomst du so etwas:

ac_password_hash=&ac_user=Testmann&ac_password=Testmann2016&ac_action=login – 892

Und versuch jetzt diese Hash eines 12 Buchstaben-Passwort mit einer Rainbow-Table zu knacken, oder sie überhaupt zu finden (es kann beliebig iteriert werden da SHA256 sehr schnell ist).

Ist jetzt klar? (Das ist nur ein "Proof of Concept" das auch funktioniert.) :)



wasp

Sorry,
wollte ja eigentlich die Klappe halten... ABER  :)

für mich als Theoretiker einen 2008(!)er - PHP(!) - Thread zu verwenden - Halte ich für verwegen ...
da ist der final Post m.E. sinnvoll ...

Zitat
06.04.2008, 23:18
Und was hindert den Man-in-the-Middle daran, den $_SESSION["salt"] abzufangen, den ihr ja irgendwie an JavaScript uebergeben muesst?
JavaScript ist client-seitig und somit NIE sicher, man kann es dem Angreifer hoechstens erschweren, aber eine professionelle Loesung ist das nicht, mehr Skript-Kiddie Niveau. Benutz SSL!

Administrative Aufgaben bzw. deren Nutzung / Umfeld ändern sich, wie nahezu alle webbasierenden Anwendungen ...

So wie ich es sehe, ist ein SSL-Login eingehend mit einem responsiven Admin nahezu alternativlos  :mrgreen:

cu








MarcAurel

Hallo wasp,

niemand spricht hier von "$_SESSION["salt"] "
Vermische bitte nicht was andere in einem anderen Forum fachsimpeln ohne Ahnung davon zu haben mit einer sichere(re)n Alternative zu dem jetzigen Login, die ich in meinem vorhigen Beitrag demonstriere mit einer Live-Demo.

:)


MarcAurel

Zitat
Benutz SSL!

Noch etwas dazu, da mehrere Leute diese Meinung hier auf dem Topic geäußert haben.

SSL ist doch nicht das Thema. Ich bestreite nicht dass SSL nicht sicher(er) wäre.
Hier geht es um Mozilo und dass bei der Anmeldung in Adminbereich das Passwort übers Internet in Klartext versendet wird.
Und es geht darum dass nur mit paar Zeilen Code dies zu beheben wäre, auch wenn doch nicht so sicher wie SSL.

:)





laborix

#29
Zitat von: MarcAurel am 31. März 2016, 23:25:46
Hallo laborix,
du kannst diese Anmeldung die sicher ist (sicherer auf jedem Fall als jetzige)   hier in AccessControl  testen . ...
Ich gebe jetzt auf, schönes Weekend