Ist eine Session überhaupt sicher? (Perl/CGI)

[thread]21576[/thread]

Ist eine Session überhaupt sicher?

Tags: perl5 CGI Ähnliche Threads

Leser: 11

Articles: hide open all | hide show old branches

Teilbäume:
JWT Token (2 Artikel) 2024-05-27 18:42
JWT unsicher (5 Artikel) 2024-05-31 10:53

+102 replies
rosti

2024-05-14 18:02

User since
2011-03-19
3472 Artikel
BenutzerIn

Ein Vergleich: Nehmen wir an, es gibt ein Bankgebäude in dem jeder Kontoinhaber einen eigenen Raum gemietet hat zu dem außer bestimmten Bankmitarbeitern nur der Kontoinhaber Zutritt hat. Das Gebäude hat einen Eingang wo sich jeder Kontoinhaber ausweisen muss.

Da ich ein Konto habe und mal wieder danach schauen möchte, muss ich mich am Haupteingang der Bank mit meinem Benutzernamen und meinem ganz persönlichen Kennwort ausweisen. Somit bekomme ich ein Zettelchen auf dem eine zufällig erzeugte Nummer, ein sog. Token notiert ist. Damit komme ich in den von mir gemieteten Raum. Wenn ich diesen Raum jedoch betreten möchte, muß ich mich nicht noch einmal neu ausweisen sondern nur noch das Zettelchen mit dem Token vorzeigen.

Dieses Zettelchen mit dem Token soll also ein Beweis dafür sein daß ich durch den Haupteingang ins Haus gekommen bin und mich ebenda mit meiner ganz persönlichen Benutzerkennung ausgewiesen habe.

Ist das sicher?
- +18 replies
- GwenDragon
  
  2024-05-14 18:17
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  Meiner Meinung nach: das Token besagt ja nur, dass sich jemand mal (jetzt, vor einiger Zeit, vor langer Zeit) mit Username und Passwort authentifiziert hatte.
  Ob das wirklich die Person war, kann nur durch einen weiteren Faktor (2FA) bewerkstelligt werden (Authentifizierungs-App, Hardware-Key).
  
  Das üblich nach Username+Passwort eine Session-ID (Token?) zu erzeugen und per Cookie oder CGI-Parameter mit zu schleppen, ist verführerisch, aber das Token bleibt solange gültig, bis der Server abbrennt, der PC verschrottet wird – je nachdem ob ein Token abläuft.
  Zudem sind die Tokens ja so nicht gesperrt, falls jemand mal eben Pause macht, ein extra Hardware-Key, der abgezogen wird, macht es sicherer.
  
  Oder interpretiere ich deine Frage nicht richtg?
  Last edited: 2024-05-14 18:34:38 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +17 replies
  - rosti
    
    2024-05-14 19:31
    
    User since
    2011-03-19
    3472 Artikel
    BenutzerIn
    
    Quote
    Meiner Meinung nach: das Token besagt ja nur, dass sich jemand mal (jetzt, vor einiger Zeit, vor langer Zeit) mit Username und Passwort authentifiziert hatte.
    
    Ja. Das ist ja auch völlig OK für eine erfolgreiche Authentifizierung einen Token zu bekommen. Problematisch ist es meiner Meinung nach, wenn für alle nachfolgenden Aktionen die eine Authentifizierung erfordern anstelle derer das Token tritt. Denn allein mit diesem Token kann man alles machen wofür man normalerweise Benutzername und Passwort braucht.
    
    Ich halte das für nicht sicher.
    - +16 replies
    - GwenDragon
      
      2024-05-15 11:29
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      2024-05-14T17:31:09 rosti
      Problematisch ist es meiner Meinung nach, wenn für alle nachfolgenden Aktionen die eine Authentifizierung erfordern anstelle derer das Token tritt. Denn allein mit diesem Token kann man alles machen wofür man normalerweise Benutzername und Passwort braucht.
      
      Ich halte das für nicht sicher.
      
      ich sehe das auch so.
      
      Das Token is ja sowas wie die Authentifizierung, aber für Authorisierung von Aktionen gibt es danach kein Extra. Deswegen mein Hinweis auf Hardware-Key oder Authenticator-App-Token.
      Ist für mich wie eine TAN mittels Hardware-Smartcard (eTan) erzeugt und für jeden Transaktion übermittelt.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +15 replies
      - rosti
        
        2024-05-15 12:30
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Ja genau. Eine TAN wird ja bspw. über die Geldkarte erzeugt und ist quasi eine Authentifkation die bei einer Transaktion vorgelegt wird, zumindest bei größeren Beträgen. Dennoch gehen kleinere Beträge und Rumschnüffeln auch ohne TAN, also allein mit dem Token.
        
        Wobei es gar keines zusätzlichen Aufwandes bedarf, anstelle des Token Benutzername+Passwort in einen Cookie zu setzen. Damit authentifiziert sich der Benutzer bei JEDEm Request ohne daß er das jedesmal neu eingeben muss.
        
        Aber auf die Idee muß man erst einmal kommen ;)
        
        +14 replies
        
        bianca
        
        2024-05-15 12:37
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Nein. Benutzer und Passwort haben im Cookie nichts zu suchen!
        10 print "Hallo"
        20 goto 10
        
        +12 replies
        
        rosti
        
        2024-05-15 12:45
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2024-05-15T10:37:11 bianca
        Nein. Benutzer und Passwort haben im Cookie nichts zu suchen!
        
        Warum nicht? Erstens sind Cookies lokal und zweitens werden Cookies verschlüsselt übertragen sofern HTTPS. Und drittens kann man das Passwort auch als Hash in den Cookie schreiben.
        
        MFG
        
        +11 replies
        
        Raubtier
        
        2024-05-15 13:13
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        2024-05-15T10:45:34 rosti
        2024-05-15T10:37:11 bianca
        Nein. Benutzer und Passwort haben im Cookie nichts zu suchen!
        
        Warum nicht? Erstens sind Cookies lokal und zweitens werden Cookies verschlüsselt übertragen sofern HTTPS. Und drittens kann man das Passwort auch als Hash in den Cookie schreiben.
        
        Ein gehashtes Passwort im Cookie bringt dir doch nichts, du musst dich immer mit dem echten Passwort identifizieren, nicht mit dem Hash.
        
        Cookies werden normalerweise unverschlüsselt auf dem Computer des Benutzers gespeichert. Wenn das Passwort im Klartext im Cookie gespeichert wird, kann es von bösartigen Personen leichter abgefangen werden.
        
        Man darf sich nicht immer nur den "so soll es sein"-Fall angucken (in welchem z.B. es keine MitM-Angriffe gibt), sondern auch, wie man Probleme/Folgen minimiert, wenn irgendwer doch irgendwie, sei es aus Versehen oder per Sicherheitslücke, Zugriff auf entweder eine Cookies oder z.B. dan Passwort-Hash belkommt.
        Last edited: 2024-05-15 13:14:10 +0200 (CEST)
        
        +10 replies
        
        rosti
        
        2024-05-15 13:19
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Quote
        Ein gehashtes Passwort im Cookie bringt dir doch nichts, du musst dich immer mit dem echten Passwort identifizieren, nicht mit dem Hash.
        
        Kleiner Tipp: Auf dem Server ist das Passwort auch nicht im Klartext gespeichert sondern als Hash. Derselbe Hash wie im Cookie ;)
        
        Und das kann mal sehr gut vergleichen.
        
        +9 replies
        
        Raubtier
        
        2024-05-15 13:23
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        2024-05-15T11:19:59 rosti
        Quote
        Ein gehashtes Passwort im Cookie bringt dir doch nichts, du musst dich immer mit dem echten Passwort identifizieren, nicht mit dem Hash.
        
        Kleiner Tipp: Auf dem Server ist das Passwort auch nicht im Klartext gespeichert sondern als Hash. Derselbe Hash wie im Cookie ;)
        
        Und das kann mal sehr gut vergleichen.
        
        Äh ja, aber warum hasht man denn Passwörter? Doch genau, damit du eben nichts mit dem Hash anfangen kannst, solltest du ihn doch mal zu fassen kriegen. Damit würdest du doch das gesamte Sicherheitskonzept des Hashings aushebeln. Man vergleich IMMER hashfunktion(passwort) ?= hash_value (+dass man natürlich noch salzt, damit man keine Hashtabellen nutzen kann, d.h. hashfunktion(passwort, get_salt(hash_value)) ?= hash_value - bzw. normalerweise sind da ja fertige Funktionen für da, weil ja nicht nur das Salt, sondern ggf. auch die Hash-Runden etc. benötigt werden)
        Last edited: 2024-05-15 13:28:49 +0200 (CEST)
        
        +8 replies
        
        rosti
        
        2024-05-15 13:28
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Genau. Nichts Anderes schrieb ich.
        
        Wobei: Beim Login kommt das Passwort im Klartext ins Formular. Weil es der Benutzer eben im Klartext eingibt. mfg
        
        +7 replies
        
        Raubtier
        
        2024-05-15 13:30
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        2024-05-15T11:28:21 rosti
        Genau. Nichts Anderes schrieb ich.
        
        Dein Vorschlag war, Hashes zu vergleichen. Ich schrieb dir, dass das keine gute Idee ist.
        
        +6 replies
        
        rosti
        
        2024-05-15 13:34
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2024-05-15T11:30:12 Raubtier
        2024-05-15T11:28:21 rosti
        Genau. Nichts Anderes schrieb ich.
        
        Dein Vorschlag war, Hashes zu vergleichen. Ich schrieb dir, dass das keine gute Idee ist.
        
        Wie willst Du denn sonst Passworte vergleichen? Doch nicht etwa im Klartext? Also, Passworte im Klartext auf dem Server zu halten sind keine gute Idee.
        
        Mfg
        
        +5 replies
        
        Raubtier
        
        2024-05-15 13:43
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        Ok, ich muss präziser sein.
        
        Dein Vorschlag war, Hashes vom Client (gespeichert im Cookie) mit Hashes auf dem Server zu vergleichen. Das ist dumm, weil: wenn jemand den Server-Hash klaut, dann hat derjenige sofort Zugriff.
        
        Im Backend rufst du eine Funktion verify_password(klartext, hash) auf, die dir true oder false liefert. Klar, innerhalb dieser Funktion wird aus klartext und properties(hash) ein Hash gebildet und dieser mit dem gespeicherten Hash vergleichen. Aber das hilft dir genau gar nicht, wenn du auf dem Client den Hash hast.
        Last edited: 2024-05-15 13:44:49 +0200 (CEST)
        
        +4 replies
        
        rosti
        
        2024-05-15 13:46
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Stimmt das ist unklug. Besser also das Passwort genauso übertragen wie beim Login.
        
        Mfg
        
        Oder so: Für den Cookie wird das Passwort einmal gehasht. Damit es nicht im Klartext im Cookie steht. Und für den Server wird das Passwort zweimal gehasht.
        
        Wenn Cookie kommt, einmal hashen für den Vergleich.
        Wenn Login, zweimal hashen für den Vergleich.
        
        Test nach der Mittagspause ;)
        Last edited: 2024-05-15 14:06:06 +0200 (CEST)
        
        +3 replies
        
        Raubtier
        
        2024-05-15 15:04
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        Mein Rat: denk dir nicht irgendwelche eigenen "Sicherheits"konzepte aus.
        
        +2 replies
        
        rosti
        
        2024-05-15 15:14
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2024-05-15T13:04:07 Raubtier
        Mein Rat: denk dir nicht irgendwelche eigenen "Sicherheits"konzepte aus.
        
        Eine tokenbasierte Authentifizierung ist unsicher! Das war sie schon immer! Grund genug über bessere Lösungen nachzudenken!
        
        Linuxer
        
        2024-05-15 16:13
        
        User since
        2006-01-27
        3890 Artikel
        HausmeisterIn
        
        Ich bin gespannt auf die besseren Lösungen.
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        rosti
        
        2024-05-15 21:52
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2024-05-15T10:37:11 bianca
        Nein. Benutzer und Passwort haben im Cookie nichts zu suchen!
        
        Dein Browser speichert keine Passworte?
- +5 replies
- bianca
  
  2024-05-15 07:44
  
  User since
  2009-09-13
  7016 Artikel
  BenutzerIn
  
  Das Zettelchen wird ja verschlüsselt (TLS). Wenn du es also verlierst, nützt es dem Finder nichts, weil er nur verschlüsselten Brei drauf stehen sieht. Oder habe ich einen Denkfehler?
  10 print "Hallo"
  20 goto 10
  - +4 replies
  - rosti
    
    2024-05-15 08:11
    
    User since
    2011-03-19
    3472 Artikel
    BenutzerIn
    
    Das Problem ist das Token. Bei jedem Request muß am Server nachgeschaut werden, ob das Token (was der Request mitsendet) erzeugt wurde, wann das Token erzeugt wurde und an welchen Benutzer es vergeben wurde. Dabei darf das Token nur einmal registriert sein.
    
    Egal über welchen Zeitraum: Ein Token muß atomar sein, es darf nicht vorkommen daß ein Token der zufällig erzeugt wurde mehreren Benutzern zugewiesen wird.
    
    Bis dahin ist das vielleicht noch machbar. Aber stellen wir uns mal vor, Benutzer Alfred hat einen Token bekommen und darf Geld überweisen. Zufällig kommt in anderer Benutzer mit demselben Token und darf damit natürlich all das machen was Alfred gerade macht. Denn serverseitig wird ja nur das Token geprüft und davon ausgegangen daß der Benutzer der es bekommen hat Alfred ist.
    
    Ziemlich fatal.
    Last edited: 2024-05-15 08:45:03 +0200 (CEST)
    - +3 replies
    - bianca
      
      2024-05-15 12:32
      
      User since
      2009-09-13
      7016 Artikel
      BenutzerIn
      
      Auch das Token ist ja verschlüsselt. Und für die Einzigartigkeit hat man doch eine DB wo alle noch nicht abgelaufenen zugewiesenen Session-ID's und Token drin stehen.
      Das Token, die Session-ID und die https Verschlüsselung sind m. E. mit aktuellen Möglichkeiten nur äußerst aufwendig "knackbar".
      "Sicher" ist gar nichts in dieser Galaxy. Aber was bringt dich da jetzt in Probleme?
      10 print "Hallo"
      20 goto 10
      - +2 replies
      - rosti
        
        2024-05-15 12:42
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Die Verschlüsselung löst ja das Problem nicht!
        
        bianca
        
        2024-05-15 18:10
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2024-05-15T10:42:27 rosti
        Die Verschlüsselung löst ja das Problem nicht!
        
        Welches Problem hast du denn?
        10 print "Hallo"
        20 goto 10
- +78 replies
- Linuxer
  
  2024-05-15 12:47
  User since
  2006-01-27
  3890 Artikel
  HausmeisterIn
  Sicherheit ist immer Definitionssache und immer ein gewisser Kompromiss. Es muss immer betrachtet werden, was man absichern will und welche Schwelle man davor legen will.
  
  Die Frage "Ist das sicher?" ist IMHO falsch gestellt. Korrekter sollte sie lauten: "Ist das (mir/uns/für diesen Einsatzzweck) ausreichend sicher?".
  
  Letzten Endes sind Tokens nur digitale Versionen von Schlüsseln und Zugangskarten. Die bekomme ich auch nach einmaliger Identifikation (in irgendeiner Art und Weise) und kann sie danach benutzen. Oder weitergeben und ein anderer benutzt sie; oder klauen lassen und ein anderer benutzt sie.
  Vielleicht gibt es sogar einen Prozess, wonach ich regelmäßig überprüft werde, ob ich den Schlüssel oder die Karte noch habe und ob ich überhaupt noch berechtigt bin, diese zu haben.
  
  Ein Token ist auch kein Allheilmittel. Man muss sich schon Gedanken machen, was man absichern muss.
  
  Um Dein Beispiel mit Alfreds Überweisung (Deine Antwort auf biancas Beitrag) aufzugreifen:
  
  Mit Alfreds Token darf sein Überweisungsformular aufgerufen werden.
  Aber wenn man damit eine Überweisung auslösen will, muss ein weiteres Kennzeichen abgefragt werden.
  Das kann ein Benutzername und Passwort sein; das kann eine PIN sein, das kann ein Stück Hardware sein.
  
  Tokens sind eine Variante, einen Kompromiss zwischen Komfort und Sicherheit zu finden. Immer mit der Überlegung, was man abgesichert haben will.
  
  Überlegungen zum Token:
  
  Das System muss sicherstellen, dass es kein Token doppelt vergibt. Wenn das passiert, ist Dein System fehlerhaft. Nicht das Konzept des Tokens generell.
  Tokens müssen lang sein, damit die Gefahr der Kollisionen (gleiches Token zeitnah wiederholt generiert) minimiert wird.
  Tokens müssen mit ausreichendem Zufall generiert werden; und definitiv nicht hochgezählt werden.
  Tokens müssen eine ausreichend kurze Lebensdauer haben, und dann bei Ablauf ausgetauscht werden. Um diesen Austausch herum kann man weitere Hürden aufbauen.
  
  Ein Austausch eines virtuellen Tokens kann ohne Benutzerinteraktion erfolgen. Z.B. alle 5 Minuten wird getauscht.
  So hat ein Angreifer beispielsweise nur max. 5 Minuten Zeit, mit einem erbeuteten Token Böses zu treiben.
  Wenn man eine Historie über die Tokens und ihre Vorgänger pflegt, könnte das System auch restriktiver arbeiten. Z.B. alle verbundenen Tokens verwerfen, die gerade verwendet werden, und eine Neuanmeldung verlangen, damit ein neues und unabhängiges Token vergeben werden kann.
  Das alles hängt eben genau davon ab, was ich schützen will.
  Tokens dürfen nicht für alles benutzt werden; kritische Anwendungen (Überweisungen,Passwort ändern,o.ä.) müssen mindestens eine weitere Hürde erfordern (Passwort,PIN, Hardware).
  
  meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
  Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
  - +77 replies
  - rosti
    
    2024-05-15 13:25
    
    User since
    2011-03-19
    3472 Artikel
    BenutzerIn
    
    Quote
    Tokens sind eine Variante, einen Kompromiss zwischen Komfort und Sicherheit zu finden.
    
    Genau das kann man auch ohne Token machen.
    
    Demo: http://rolfrost.de/konto.html
    
    Was noch eine Reihe weitere Vorteile mit sich bringt.
    Last edited: 2024-05-15 13:38:56 +0200 (CEST)
    - GwenDragon
      
      2024-05-15 13:42
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      Du machst folgendes: Cookie mit $USERNAME erzeugen, welches den MD5-Hex-Wert $PASSWORT hat, meiner Meinung nach eine unsichere Art einen Hash zu erzeugen.
      
      Warum keinen gesalzenen Hash?
      
      ⇒ https://crackstation.net/hashing-security.htm
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +75 replies
    - Linuxer
      
      2024-05-15 16:11
      
      User since
      2006-01-27
      3890 Artikel
      HausmeisterIn
      
      Welche Vorteile sollen das sein? Das schreibst Du hier leider nicht.
      
      Einen klaren Nachteil sehe ich in der Verwendung von Benutzername und/oder Passwort in irgendeiner Art, die über einen seltenen einmaligen interaktiven Vorgang hinausgeht:
      
      Ein Cookie kann gekapert werden. Egal, ob da ein Sessiontoken oder Benutzer/Passwort in irgendeiner Art drinnen steht. In letzterem Fall bekommt ein Angreifer gleich mal mehr relevante Informationen. Auch wenn die irgendwie gehasht darin vorliegen, dann hat er ja erstmal den Hash und kann in Ruhe sich daran abarbeiten, um mögliche Kandidaten der gehashten Werte zu errechnen.
      
      Aber sollte ein Token gekapert werden, steht da keinerlei Information drin, außer eben der Token-ID. Es wird keine relevante Information nach draußen (zum Client) übertragen. Die Verknüpfung des Tokens mit relevanten Information erfolgt nur im Server-System.
      
      Ein Token kann ganz einfach ungültig erklärt werden und ist damit nicht mehr benutzbar. Benutzernamen und Passwörter bleiben davon unberührt. Wie soll das bei Deinem Ansatz gehen, wenn die beiden oder nur einer davon in deiner Lösung verwendet wird?
      
      Und Deine Lösung ist effektiv auch nichts anderes als ein Token. Ein Kennzeichen zum Nachweis, dass jemand für den Zugriff berechtigt ist. Ganz egal, ob Du das nun Token oder Cookie nennst. Nur dass Du "echte" Daten als Grundlage nehmen willst.
      
      Ein Passwort wird einmal übertragen, verifiziert und danach wird der Zugriff über das Token geregelt.
      Bei wichtigen Aktionen, wird das Passwort oder ein anderes Sicherheitsmerkmal abseits des Token nochmal abgefragt. Jeglicher "unkritische" Zugriff wird nur über das Token abgehandelt, was eben gemäß der Sicherheitsanforderungen rotiert werden sollte.
      
      Um das Passwort irgendwie abzufangen, muss der Angreifer zur richtigen Zeit mitlesen. Genau zu der Eingabe.
      Würde das jetzt bei jedem Zugriff in irgendeiner Art übertragen werden, erhöht sich die Zeitspanne für den Angreifer, um mitzulesen und Hinweise auf oder das Passwort sogar selbst zu ermitteln.
      
      Ich meine, es ist ja nicht so, als hätte sich weltweit in all den Jahren niemand um dieses Thema vor Dir Gedanken gemacht. Raus gekommen ist die heute verbreitete Variante mit Sessions und Tokens und Abfrage zusätzlicher Parameter bei wichtigen Aktionen.
      
      Und auch klar ist, dass eine Session- und/oder Tokenverwaltung wiederum serverseitig mehr Arbeit macht als ein "einfacher" Abgleich von Benutzername und Passwort. Das ist der Preis, der für die erhöhte Sicherheit gezahlt werden muss.
      
      Wie ich in meiner ersten Antwort schrieb, muss man sich klar machen, was man schützen will und wieviel Aufwand das einem Wert ist.
      
      Dieses Fundstück fand ich recht gut, weil es die Unterschiede zwischen allgemein verwendeten Mechanismen kompakt darstellt:
      https://www.baeldung.com/cs/tokens-vs-sessions
      
      Beim Lesen der Seite wurde mir auch wieder klar, dass die Nutzung der richtigen Begriffe wichtig ist. Ich bin mir der Unterschiede zwischen Session-basiert und Token-basiert (wie dort dargestellt) zwar bewusst, aber "Token" läuft bei mir als Synonym für Session-ID (Session-"Token") und eben auch Token... Es gibt feine Unterschiede zwischen beiden, aber auch Überschneidungen.
      
      edit: im letzten Absatz eingefügt: (wie dort dargestellt) und (Session-"Token")
      Last edited: 2024-05-15 16:32:50 +0200 (CEST)
      meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
      Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
      - +74 replies
      - rosti
        
        2024-05-15 16:41
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Eine serverseitige Tokenverwaltung ist nicht der Preis für mehr Sicherheit. Weil eine serverseitige Tokenverwaltung nicht mehr Sicherheit bietet. Weil man mit keiner serverseitigen Tokenverwaltung sicherstellen kann, daß ein Token atomar ist.
        
        Wenn täglich mehr als tausend Loginprozesse abzuwickeln sind, ist der Aufwand für eine Tokenverwaltung alles Andere als trivial. Und löst das Problem, daß zwei verschiedene Benutzer zeitgleich mit einunddemselben Token ankommen überhaupt nicht.
        
        MfG
        
        +73 replies
        
        Linuxer
        
        2024-05-15 16:56
        
        User since
        2006-01-27
        3890 Artikel
        HausmeisterIn
        
        Wenn die serverseitige Tokenverwaltung es nicht hinbekommt, Tokens nicht doppelt zu vergeben, dann hat der Ersteller der Tokenverwaltung es grundlegend verkackt. Ganz egal, ob da hunderte, Tausende, oder Millionen Tokens zu vergeben sind!
        Last edited: 2024-05-15 16:58:21 +0200 (CEST)
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        +72 replies
        
        rosti
        
        2024-05-15 17:22
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Keine Tokenverwaltung der Welt kann verhindern daß nach der Zuteilung eines Tokens an einen Benutzer ein zweiter Benutzer denselben Token benutzt.
        
        MFG
        
        +2 replies
        
        Linuxer
        
        2024-05-15 17:32
        
        User since
        2006-01-27
        3890 Artikel
        HausmeisterIn
        
        OK, dann habe ich Dich da falsch verstanden. Aber dann war der zweite Benutzer gut im Raten. Oder die Tokenverwaltung zu schlecht, weil die Tokens zu kurz sind, und/oder nicht ausreichend zufällig sind.
        
        Das (Erraten von Tokens) ist in der Tat ein Problem, dem man mit einem ausreichend großen Pool an möglichen Tokens zu begegnen versucht.
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        rosti
        
        2024-05-15 17:51
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Ja genau. Im Grunde hat jedes Verfahren irgendwo ein Sicherheitsproblem ;)
        
        +69 replies
        
        bianca
        
        2024-05-15 18:16
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Doch. Dafür ist ja das Token mit der Session verknüpft. Ein Ratender müsste beides erraten und das wäre wirklich schwierig. Zumindest schwierig genug, die aktuellen Lösungen als "sicher" zu bezeichnen.
        Und dann wäre da noch die Sache mit der TLS Verschlüsselung.
        10 print "Hallo"
        20 goto 10
        
        +68 replies
        
        rosti
        
        2024-05-15 19:00
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Das Problem ist, daß ein zufällig erzeugtes Token kein sicherer Ersatz sein kann für Benutzername+Passwort.
        
        Mit Verschlüsselung hat das gar nichts zu tun.
        
        MfG
        
        +67 replies
        
        bianca
        
        2024-05-15 20:12
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Du musst es ja wissen. Warum fragst du überhaupt?
        10 print "Hallo"
        20 goto 10
        
        +20 replies
        
        Raubtier
        
        2024-05-15 20:42
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        Damit bringt Rosti hier immerhin ein bisschen Stimmung rein :-)
        
        +19 replies
        
        GwenDragon
        
        2024-05-15 21:22
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Jau! :-)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +18 replies
        
        rosti
        
        2024-05-16 11:38
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Genau! Um es nochmal auf den Punkt zu bringen: HTTP ist zustandslos. Den Zustand einer Anmeldung gibt es in HTTP gar nicht.
        
        Ebensowenig kennt eine Session den Zustand angemeldet zu sein.
        
        MFG
        Last edited: 2024-05-16 11:47:26 +0200 (CEST)
        
        +17 replies
        
        bianca
        
        2024-05-16 12:39
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Und was ist daran neue Erkenntnis?
        10 print "Hallo"
        20 goto 10
        
        +16 replies
        
        rosti
        
        2024-05-16 13:05
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2024-05-16T10:39:04 bianca
        Und was ist daran neue Erkenntnis?
        
        Daß der Zustand einer Anmeldung bestenfalls nur emuliert werden kann. Selbst dann, wenn einer Session ein Authentifikations-Request vorausging, hat die Session zu dieser Authentifikation gar keinen Bezug und so wird bei Folgerequests lediglich geprüft ob die Session noch dieselbe ist.
        
        D.h., daß von der Sache her eine Session an sich gar nicht sicher sein kann.
        
        Es gibt jedoch Möglichkeiten eine Session sicher zu machen. Z.B. mit einem Token der nicht nur eine zufällig erzeugte Zeichenfolge sonderen auch Teile oder die gesamte Benutzerkennung (Name+Passwort) mit sich führt. Was eine Authentifikation bei jedem Request ermöglicht.
        
        Und ja, man kann auch von selbst darauf kommen ;)
        
        Raubtier
        
        2024-05-16 16:57
        
        Subtree with 8 replies: JWT Token
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        Das ist jetzt aber doch nichts neues, sondern absoluter Standard:
        
        Code: (dl )
        
        1 2 3
        
        # in python from jose import jwt print(jwt.encode({"user": "rosti"}, "some fixed configured random string, e.g. from .env", algorithm="HS256"))
        
        Gibt eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoicm9zdGkifQ.5yhIbUUZLXQWOQm5E4EF9m9_9hPsixdIbXBdVP0NtjU aus.
        Last edited: 2024-05-27 18:42:56 +0200 (CEST)
        
        +7 replies
        
        bianca
        
        2024-05-17 07:58
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2024-05-16T11:05:16 rosti
        Es gibt jedoch Möglichkeiten eine Session sicher zu machen. Z.B. mit einem Token der nicht nur eine zufällig erzeugte Zeichenfolge sonderen auch Teile oder die gesamte Benutzerkennung (Name+Passwort) mit sich führt.
        
        Das passt! Daran habe ich (auch) noch nicht gedacht. Ich glaube, dass ich das auch nutzen werde. Es ist wenig Aufwand und mindert ein bisschen die Angst vor einer "zufällig" erzeugten Geschichte, die ja bekanntlich nur wenig wirklich zufällig ist.
        10 print "Hallo"
        20 goto 10
        
        rosti
        
        2024-05-17 08:34
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Sehr gut ;)
        
        Der Witz ist der, daß ja auch schon Andere und vor unserer Zeit darauf gekommen sind. Und ein Treppenwitz deswegen, weil man auf diese Art und Weise sich den ganzen sinnlosen Verwaltungs- und Programmieraufwand für Session-Tokens ersparen kann.
        
        MFG
        
        +5 replies
        
        Raubtier
        
        2024-05-17 09:19
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        2024-05-17T05:58:25 bianca
        2024-05-16T11:05:16 rosti
        Es gibt jedoch Möglichkeiten eine Session sicher zu machen. Z.B. mit einem Token der nicht nur eine zufällig erzeugte Zeichenfolge sonderen auch Teile oder die gesamte Benutzerkennung (Name+Passwort) mit sich führt.
        
        Das passt! Daran habe ich (auch) noch nicht gedacht. Ich glaube, dass ich das auch nutzen werde. Es ist wenig Aufwand und mindert ein bisschen die Angst vor einer "zufällig" erzeugten Geschichte, die ja bekanntlich nur wenig wirklich zufällig ist.
        
        Kannst dir ja https://metacpan.org/pod/Crypt::JWT angucken. Aber kein Passwort darin speichern!
        
        Warum man jedoch Angst hat bei zufällig erzeugten IDs, ist mir schleierhaft. Die Wahrscheinlichkeit, dass zwei zufällige UUID4s kollidieren, ist so klein, dass man sich darum nun wirklich nicht kümmern muss.
        
        rosti
        
        2024-05-17 09:32
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Gibts auch schon: UUencode, Perl: pack "u", unpack "u"
        
        Wobei ich unter Crypt nicht etwas verstehe was man umkehren kann. Von daher finde ich den Namen Crypt::JWT irreführend, denn unter Crypt gibt es kein decode/encode, Crypt ist Einweg!
        
        Siehe auch Perls crypt-Implementierung.
        
        crypt() is a one-way hash function.
        
        Crypt::JWT hingegen verwendet einen Schlüssel. Also ist es eine Verschlüsselung und kein Encryption!
        
        mfg
        Last edited: 2024-05-17 10:10:46 +0200 (CEST)
        
        +3 replies
        
        rosti
        
        2024-05-17 10:17
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Quote
        JWT eignen sich vor allem zur Implementierung von „Stateless Sessions“, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die Sitzung nicht zusätzlich auf einem Server gespeichert werden muss.
        Wiki
        
        Für mich heißt das: Auf gar keinen Fall im URL übertragen!!!! Denn ein Aushandeln des Schlüssels (Diffie/Hellmann) gibt es bei JWT nicht!
        Last edited: 2024-05-17 10:28:42 +0200 (CEST)
        
        +2 replies
        
        Raubtier
        
        2024-05-17 13:27
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        2024-05-17T08:17:42 rosti
        Auf gar keinen Fall im URL übertragen!
        
        Das überträgt man im Header.
        
        zum Beispiel:
        
        Code: (dl )
        
        curl -H "Authorization: Bearer $TOKEN" -X POST/GET/WHATEVER https://deine-adresse
        
        rosti
        
        2024-05-17 13:35
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Im Header ist ok. Wobei man das was man im Header überträgt nicht zusätzlich verschlüsseln muß wenn man ohnehin SSL (HTTPS) verwendet.
        
        Aber da
        
        https://www.google.com/search?q=json+web+token&rlz...
        
        steht was von URL-safe
        
        PS: Die ganze JWT Sache stiftet ziemlich viel Verwirrung. Eine unsachgemäße Verwendung ist da quasi vorprogrammiert.
        
        Im Wesentichen definiert JWT nur einen eigenen Content-Type, das hat mit Sessions gar nichts zu tun. Und auch die Algorithmen in JWT sind nicht neu.
        Last edited: 2024-05-17 15:14:28 +0200 (CEST)
        
        +36 replies
        
        rosti
        
        2024-05-15 20:49
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Findest Du ein zufällig erzeugtes Token was Du nie zu Gesicht bekommst sicherer als ein Passwort über daß Du einige Minuten nachgedacht hast?
        
        +35 replies
        
        Linuxer
        
        2024-05-15 22:14
        
        User since
        2006-01-27
        3890 Artikel
        HausmeisterIn
        
        Nachdem ich das gelesen habe, finde ich, sollte geklärt werden von was genau die Rede ist.
        
        "ein zufällig erzeugtes Token was Du nie zu Gesicht bekommst" das klingt dann mehr nach einer Session-ID anstatt einem Token im Token Sinne. Läuft wahrscheinlich in genau der synonymen Verwendung als Session-Token, die ich an anderer Stelle hier erwähnt hatte.
        
        Zur eigentlichen Frage:
        Gerade eine Session-ID, die man nicht zu Gesicht bekommt, lässt sich ja sicherer generieren als ein Benutzername+Passwort.
        
        Ein Benutzername wird meist lesbar ausgewählt, was nur eine geringe Sicherheit bietet.
        
        Ein Passwort ist wahrscheinlich auch meist eher etwas lesbares oder merkbares, was ebenfalls Sicherheit kostet.
        
        Ich unterstelle, dass die meisten Benutzer noch immer mit eher schwachen Passwörtern unterwegs sind.
        
        Damit wäre ich schon der Meinung, dass eine ordentlich generierte Session-ID sicherer ist als eine Kombination von Benutzername und Passwort.
        
        Mal einfach überlegt, wie es aktuell wahrscheinlich aussieht:
        
        ein üblicher Benutzername besteht aus irgendwas zwischen 2 und vielleicht 12 Zeichen
        ein übliches (selbst vergebenes Passwort) besteht aus wahrscheinlich 8 bis 20 Zeichen (und da steckt schon Hoffnung drinne, dass man mindestens 8 Zeichen als Passwort vergibt).
        
        Gerade die selbst vergebenen Passwörter wären sicherheitstechnisch eher mangelhaft. Und selbst wenn es Benutzer gibt, die sich bessere Passwörter vergeben, muss man meiner Meinung bei der Betrachtung dennoch von den schlimmsten Fällen ausgehen.
        
        Das macht in Summe etwas zwischen 10 und 32 Zeichen, was zur Bildung eines Identifikationsmerkmals verwendet werden kann. Ausgehend von den schlechten Annahmen, wahrscheinlich eher zwischen 10-20 Zeichen.
        
        Selbst wenn der Passwort "gut" generiert worden ist, bleibt sein Anteil klein.
        
        Wenn man seine Session-ID nun aus 64 Zeichen generieren lässt, würde ich das schon als sicherer betrachten als eben die Kombination aus Benutzername und Passwort.
        
        Eine Session-ID aus 128 Zeichen entsprechend mehr.
        
        Das tolle ist auch, wenn man es richtig macht, kann die Session-ID wachsen, ohne dass der Benutzer etwas davon bemerkt.
        Mehr Benutzer, längere Passwortanforderungen? So wie das wachsen kann, kann man auch die Session-ID wachsen lassen.
        
        Und gerade weil es nicht menschenlesbar oder verarbeitbar sein muss, könnte man auch mehr Zeichen als ID verwenden, nicht nur alphanumerische Zeichen.
        
        edit: Redundanter Wortgebrauch entfernt, wo aufgefallen.
        Last edited: 2024-05-15 22:52:05 +0200 (CEST)
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        Raubtier
        
        2024-05-15 22:25
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        2024-05-15T20:14:36 Linuxer
        ein zufällig erzeugtes Token was Du nie zu Gesicht bekommst" das klingt dann mehr nach einer Session-ID anstatt einem Token im Token Sinne.
        
        Genau. Ich habe bei Token auch immer an sowas wie ein jwt-Token gedacht. Da kann man selbstverständlich eine payload drin haben, z.B. eine User-ID oder sowas, sodass man eben auch weiß, wem das Token gehört. Deswegen hatte ich auch nicht verstanden, wie es da Konflikte bei Usern geben sollte (wie hier irgendwo weiter oben von Rosti vermutet)
        
        +33 replies
        
        rosti
        
        2024-05-18 09:05
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Der Unterschied ist der: Für ein Passwort ist der Benutzer selbst zuständig. Bei einer Session jedoch weiß der Benutzer gar nicht welche Sorgfalt hinsichtlich Sicherheit an den Tag gelegt wurde, er ist quasi gezwungen, der Software bzw. den Entwicklern zu vertrauen die er i.d.R. gar nicht kennt.
        
        MFG
        
        PS: Das heißt daß ein starkes oder ein schwaches Passwort mit der Sicherheit einer Session gar nichts zu tun hat.
        Last edited: 2024-05-19 08:31:24 +0200 (CEST)
        
        +32 replies
        
        Linuxer
        
        2024-05-20 11:49
        
        User since
        2006-01-27
        3890 Artikel
        HausmeisterIn
        
        Der Benutzer muss IMMER der Software oder den Entwicklern vertrauen, ganz egal, wo er sich bewegt und wie die Authentisierung erfolgen soll.
        
        Wenn Du Sessions nicht trauen magst, dann melde Dich halt nicht bei solchen Seiten an.
        
        Und zum PS: ich habe auch nie etwas derartiges behauptet.
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        +31 replies
        
        rosti
        
        2024-05-20 12:29
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Das Ziel meines Threads besteht darin, begreiflich zu machen daß eine Session gar nichts mit der Authentizierung zu tun hat. Das liegt in der Natur des Protokolls begründet: HTTP ist zustandslos.
        
        MFG
        
        +30 replies
        
        GwenDragon
        
        2024-05-20 13:38
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Ja, traue nie dem Zustand einer Session, das ist nun klar.
        
        Und wie vertraust du, dass übertragene Daten zu denen auf dem Server gespeicherten persistent zu haltenden Daten passt?
        Was für ein Konzept nutzt du? Wie testest du deren Sicherheit?
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +29 replies
        
        rosti
        
        2024-05-20 16:08
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Bei jedem Request eine Authentifikation und schon ist das Problem Session weg. Und zwar ganz weg.
        
        MFG
        
        PS: Möglichkeiten gibt es Einige zur Übertragung der Credentials, Authorization-Header, Cookie-Header, Custom-Header und natürlich auch der Message-Body.
        Last edited: 2024-05-20 16:57:02 +0200 (CEST)
        
        +24 replies
        
        bianca
        
        2024-05-21 08:22
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2024-05-20T14:08:00 rosti
        Bei jedem Request eine Authentifikation und schon ist das Problem Session weg. Und zwar ganz weg.
        
        Dann hast du in jedem HTML document und in jeder <form> User+Passwort stehen?
        10 print "Hallo"
        20 goto 10
        
        +23 replies
        
        rosti
        
        2024-05-21 09:12
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Es gibt verschiedene Möglichkeiten für Browseranwendungen. Und natürlich auch für eigene Useragents insbesondere in Sachen Webservices.
        
        mfg
        
        PS: Wenn Du das Formular nicht selbst bauen willst, dann nutze Authorization Basic. D.h., daß Du lediglich einen HTTP-Status 401 senden musst um den Prompt zu erzeugen:
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9
        
        sub prompt{ my $self = shift; my $realm = shift || "Secret Realm"; $self->header( 'Status' => 401, 'WWW-Authenticate' => qq(Basic realm='$realm') ); return; }
        
        Nachdem der Benutzer einmal die richtigen Credentials eingegeben hat, speichert der Browser diese und sendet sie bei JEDEM Request im Auhorization-Header.
        Last edited: 2024-05-21 16:33:43 +0200 (CEST)
        
        +20 replies
        
        bianca
        
        2024-05-22 07:52
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Das überzeugt mich nicht. Credentials sehen nicht wirklich ansprechend aus und User+Pass dauerhaft in jeder Webseite mitzuschleppen wäre mir zu unsicher (Rechtsklick Quelltext mal schnell jemandem zugemailt...). Was sind die anderen Lösungen für die größten Browser genau?
        10 print "Hallo"
        20 goto 10
        
        +17 replies
        
        rosti
        
        2024-05-22 08:56
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Authorization Basic überträgt Benutzername+Passwort im Header und hält hierzu diese Credentials latent im Hauptspeicher solange die Browsersession besteht. Da gibt es gar nichts was man einfach mal so per Rechtsklick nach draußen geben könnte. Im Übrigen werden, sofern HTTPS, Header und Body verschlüsselt übertragen.
        
        .
        
        +16 replies
        
        bianca
        
        2024-05-23 07:20
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Nein das war anders gemeint:
        
        1. Möglichkeit Credentials = unschön
        
        und
        
        2. Möglichkeit User+Pass in jeder <form> übertragen = unsicher
        
        Frage ist: welche dritte, vierte und fünfte Möglichkeit hat man mit einem Standard Browser ohne nötige Erweiterung
        10 print "Hallo"
        20 goto 10
        
        +15 replies
        
        rosti
        
        2024-05-23 07:27
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Benutzername+Passwort in Formular ist nur dann unsicher wenn das per GET gesendet wird, denn dann wird es an den URL angehängt wo TLS nicht greift.
        
        Also bitte per POST. Wie willst Du den sonst Benutzername+Passwort übertragen wenn der Benutzer diese Credentials im Browser eingibt?
        
        mfg
        
        +14 replies
        
        bianca
        
        2024-05-23 23:26
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2024-05-23T05:27:39 rosti
        Benutzername+Passwort in Formular ist nur dann unsicher wenn das per GET gesendet wird
        
        Es ist unsicher, weil unbeholfene Benutzer (z. B. aus Unkenntnis was ein Screenshot ist) den Quelltext speichern und weitergeben könnten.
        Und dass man POST nutzt ist eh klar.
        
        Im übrigen hast du das geschrieben:
        
        2024-05-20T14:08:00 rosti
        PS: Möglichkeiten gibt es Einige zur Übertragung der Credentials, Authorization-Header, Cookie-Header, Custom-Header und natürlich auch der Message-Body.
        
        Und das:
        
        2024-05-21T07:12:23 rosti
        Es gibt verschiedene Möglichkeiten für Browseranwendungen. Und natürlich auch für eigene Useragents insbesondere in Sachen Webservices.
        
        Was genau ist das jeweils? Das ist meine Frage.
        10 print "Hallo"
        20 goto 10
        
        +10 replies
        
        rosti
        
        2024-05-24 08:06
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Mögliche Header
        
        Code (perl): (dl )
        
        1 2 3
        
        x-auth: name passwort Cookie: name=passwort Authorization: Basic Xfghi
        
        PS: Ich bevorzuge HTTP Authorization. Da ist nach außen hin gar nichts sichbar, da bleibt alles im Browser. Nur der Authorization Header geht raus.
        Last edited: 2024-05-24 11:52:06 +0200 (CEST)
        
        +9 replies
        
        bianca
        
        2024-05-24 16:11
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Danke. Komme vlt. drauf zurück.
        10 print "Hallo"
        20 goto 10
        
        +8 replies
        
        rosti
        
        2024-05-24 17:33
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Demo: http://rolfrost.de/anmeldung.html
        
        +7 replies
        
        bianca
        
        2024-05-25 08:53
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Das ist aber doch das ganz normale Credentials Bild. Oder was ist da anders?
        10 print "Hallo"
        20 goto 10
        
        +6 replies
        
        rosti
        
        2024-05-25 09:46
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2024-05-25T06:53:11 bianca
        Das ist aber doch das ganz normale Credentials Bild. Oder was ist da anders?
        
        Ja. Aber die Umsetzung ist etwas anders. Also ohne zusätzliche .htaccess. So erscheint der Anmeldeprompt nicht gleich beim Laden der Seite sondern erst wenn der Benutzer auf Anmelden klickt was einen bestimmten Request-Parameter zur Folge hat. Daraus ergibt sich die Möglichkeit einer zentralen Benutzerverwaltung.
        
        Das Geniale an HTTP-Authorization ist, daß es keine Session-Verhandlung gibt, somit die Credentials stets nur in ein Richtung übertragen werden und der Browser sich praktisch so verhält wie bei einer Session mit Anmeldung.
        
        HTTP-Authorization ist uralt!
        
        MFG
        
        +5 replies
        
        bianca
        
        2024-05-26 08:46
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Interessant. Noch nie davon gelesen. Hat das denn Null Nachteile? Wird das im Datenstrom übertragen der bei https Verbindungen verschlüsselt wird oder ist/bleibt der plain Text?
        10 print "Hallo"
        20 goto 10
        
        +4 replies
        
        rosti
        
        2024-05-26 09:45
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Der Browser sendet bei jedem Request einen Header Authorization: Basic dXNlcjpwYXNz, da steht encode_base64("Benutzername:Passwort") drin.
        
        Die Übertragung dieser Credentials (Zugangsdaten) erfolgt stets in eine Richtung, also vom Browser zum Server. Und wie gehabt werden header+body komplett verschlüsselt sofern HTTPS,SSL,TLS.
        
        So kann auch ein unachtsamer Programmierer nicht aus Versehen die Zugangsdaten aus einem Formular per GET senden und damit an den URL dranhängen. Also der Browser nimmt Dir alles ab, nicht einmal das Formular musste selber machen.
        
        mfg
        
        +3 replies
        
        GwenDragon
        
        2024-05-27 11:20
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        2024-05-26T07:45:05 rosti
        Also der Browser nimmt Dir alles ab, nicht einmal das Formular musste selber machen.
        Ja, aber diese Basic Auth-Eingabemaske des Browser ist für manche nicht so sonderlich benutzbar, es lässt sich ja noch nicht mal eine Meldung sinnvoll
        in dem Popup einbringen, damit Leute wissen wozu das gut ist.
        Und das hat alles so hat einen 1990-Flair. *zwinker*
        Last edited: 2024-05-27 11:23:04 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        rosti
        
        2024-05-27 12:27
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Der Authorization Basic Prompt ist Modal. D.h., daß ein Anwender gar nicht umhin kommt, da was einzugeben. Denn soo blöde sind Anwender ja nun auch wieder nicht.
        
        MFG
        
        PS: Der Browser bietet an das Passwort zu speichern. Dies tut er bei Bestätigung anhand des Namen für den Realm den er im Header www-Authenticate bekommt. Somit kann man das Speichern zwar nicht verhindern aber dafür sorgen daß die gespeicherten Zugangsdaten beim nächsten Anmelden nicht mehr drinstehen. Also dadurch daß man bei jedem Req/Res einen neuen Namen für den Realm vergibt.
        Last edited: 2024-05-27 13:01:34 +0200 (CEST)
        
        GwenDragon
        
        2024-05-27 13:12
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Weiß ich doch.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +3 replies
        
        rosti
        
        2024-05-24 08:21
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Screenshot: Kann man machen. Man kann Name und Passwort auch auf ne Ansichtskarte schreiben und die dann wegschicken.
        
        +2 replies
        
        bianca
        
        2024-05-24 16:10
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Sind halt nicht alle so ein Überflieger wie du.
        10 print "Hallo"
        20 goto 10
        
        rosti
        
        2024-05-24 17:41
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Da muß ich Dich enttäuschen. Luftpost gibt es nicht mehr. Postkarten mit Name+Passwort nur noch per Landweg ;)
        
        +2 replies
        
        GwenDragon
        
        2024-05-22 10:30
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        https://en.wikipedia.org/wiki/Digest_access_authen...
        https://en.wikipedia.org/wiki/Basic_access_authent...
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        rosti
        
        2024-05-22 10:46
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Und hierzu eine Demo http://rolfrost.de/authbasic.html
        
        die zeigt wie es auch ohne .htaccess geht und für eine zentrale Benutzerverwaltung geeignet ist.
        
        +2 replies
        
        GwenDragon
        
        2024-05-22 11:30
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Wenn man die reduzierte Login-Maske des Browsers mit Basic Auth haben will. Hat so einen Flair von 90er-Jahre-WWW *zwinker*
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        rosti
        
        2024-05-22 11:34
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Dafür kann man ein Login ohne großen Aufwand realisieren. Und da kannste mal sehen wie alt dieses Verfahren ist. Oder anders ausgedrückt: Man muss das Rad nicht immer neu erfinden.
        
        .
        
        +4 replies
        
        GwenDragon
        
        2024-05-22 11:37
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Was hältst du von HTTP Digest Access Authentication?
        Da wird ja ein Nonce mit übertragen
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +3 replies
        
        rosti
        
        2024-05-22 12:12
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Sofern HTTPS, wird alles verschlüsselt was ein CGI über STDIN/STDOUT abwickelt. Also sämtliche HTTP-Header und der HTTP-Message Body.
        
        Welchen Sinn macht da ein zusätzliches Encryption?
        
        PS: Wenn ein Angreifer an den Authorization-Header rankommt, ist es egal ob das was da drinsteht encrypted ist oder base64 oder Klartext. Er kopiert das ganze einfach.
        Last edited: 2024-05-22 12:23:40 +0200 (CEST)
        
        +2 replies
        
        GwenDragon
        
        2024-05-22 13:10
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Solange die Chiffren für TLS sicher sind, kann niemand was mit abgeschnorchelten Daten anfangen. Aber wir wissen doch wofür diverse Dienste Serverfarmen zum Speichern von Kommunikation haben, um später mit leistungsfähigeren CPUs/GPUs/Quantenrechnern zu knacken. Aber wahrscheinlich ist dann auch eine ext6ra-Request-Response-Challenge sinnlos.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        rosti
        
        2024-05-22 14:20
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Ja genau. Schließlich geht es bei einer Banksoftware nicht nur darum Benutzername und Passwort zu verschlüsseln.
        
        .
        
        +10 replies
        
        GwenDragon
        
        2024-05-15 21:21
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Lass doch, so technische Diskussion finde ich interessant, neue Ideen, Bestätigung eigenen Wissens, Belebung des Forums.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +9 replies
        
        rosti
        
        2024-05-15 21:55
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Btw, Ein Browser speichert Passworte nicht als Hash. Geht ja auch gar nicht anders. Er muss sie ja wiederherstellen können ;)
        
        Und er kann sie auch auflisten.
        Last edited: 2024-05-15 22:05:09 +0200 (CEST)
        
        +8 replies
        
        GwenDragon
        
        2024-05-15 22:06
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Ein Browser verschlüsselt die Logindatenbank.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +7 replies
        
        rosti
        
        2024-05-16 04:54
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Ja, symmetrisch. Und in Anbetracht dessen, daß damit der Browser alle gespeicherten Passworte im Klartext drucken kann, löst sich das Argument daß man einen Passwort-Hash nicht in einem Cookie speichern soll sozusagen in Luft auf. Zumal der Browser den Cookie löscht beim Beenden.
        
        MFG
        
        +6 replies
        
        bianca
        
        2024-05-16 08:31
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2024-05-16T02:54:30 rosti
        Ja, symmetrisch. Und in Anbetracht dessen, daß damit der Browser alle gespeicherten Passworte im Klartext drucken kann, löst sich das Argument daß man einen Passwort-Hash nicht in einem Cookie speichern soll sozusagen in Luft auf. Zumal der Browser den Cookie löscht beim Beenden.
        
        Ein Cookie ist aber doch etwas völlig anderes als eine interne Passwort-DB eines Browsers. Oder kannst du uns zeigen, wie du an die gesp. Passwörter in FF oder Chrome heran kommst?
        10 print "Hallo"
        20 goto 10
        
        +5 replies
        
        rosti
        
        2024-05-16 08:53
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Quote
        Oder kannst du uns zeigen, wie du an die gesp. Passwörter in FF oder Chrome heran kommst?
        
        Das steht sogar in Computer-BILD wie das geht ;)
        
        Ansonsten: Browserintern heißt sqlite. Und das sind Dateien ;)
        
        Wobei ich mir beim Session-Cookie nicht ganz sicher bin ob der überhaupt auf die Platte geschrieben wird. Es ist anzunehmen daß ein Session-Cookie nur im Hauptspeicher gehalten wird. Wegen ein paar wenigen kilobyte eine temporäre Datei zu schreiben wäre ja auch blödsinnig.
        
        MFG
        
        +2 replies
        
        GwenDragon
        
        2024-05-16 08:59
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Cookies sind z.B. in Chromium in einer SQLite-DB im Profilunterverzeichnis Network\
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        rosti
        
        2024-05-16 09:11
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Also: Es ist tatsächlich so, das Moz.FF einen Session-Cookie nur im Speicher hält und gar nicht auf die Platte schreibt.
        
        MFG
        
        +2 replies
        
        bianca
        
        2024-05-16 11:18
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2024-05-16T06:53:48 rosti
        Das steht sogar in Computer-BILD wie das geht ;)
        
        Ausgabe? Seite?
        10 print "Hallo"
        20 goto 10
        
        rosti
        
        2024-05-16 12:19
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        https://www.google.com/search?client=firefox-b-d&q...

View all threads created 2024-05-14 18:02.