mundidesign

In der Anmeldung mit dem Javascript, dass die md5summe übertägt ist ein strammer Denkfehler: Angenommen es fängt wirklich jemand die Daten ab, dann ist es egal, ob er die md5summe abfängt, oder den Loginnamen. Er snifft dann ja eh mit, was in welchem Feld steht, um die Anmeldung dann 1:1 zu wiederholen, was auch mit der md5sum klappt. Du erzeugst also an der Stelle nur Overhead, ohne in irgendeiner Weise die Sicherheit  zu erhöhen. Jain… Klar, wer den Hash hat, kann sich auch anmelden (und wahrscheinlich auch das Passwort ändern) – aber da sehe ich keinen Weg, das zu verhindern (zumindest nicht mit realistischem Aufwand – man könnte natürlich TANs verschicken, oder diese komischen Token verteilen… aber das macht hier keinen Sinn…) Naja, der beste Weg ist über Login per https und dann die Anmeldung in nem Cookie speichern, der bei jedem Seitenaufruf geändert wird. Das kostet aber wegen den vielen schreibenden Zugriffen. Vielleich könnte man als Vorteil für die Übertragung der md5summe anführen, dass ein Angreifer dann nur den Account auf deiner Seite geknackt hat, da die meisten Seiten das Passwort Plain übertragen. Dies Sache ist eh nur so sicher wie die schwächste Stelle und die wird ein Keks sein, den man mitsniffen kann, um den Account zu übernehmen. Sinn macht es, wenn man bedenkt, dass viele User auf vielen verschiedenen Sites das gleiche Passwort benutzen. D.h. ich kann zumindest verhindern dass ein Angreifer (nun ja, ein Script-Kiddie zumindest) von *meiner* Website die Passwörter für e-Mail, Skype, eBay, etc. der Benutzer erfährt. Das alleine ist schon den Aufwand wert. Jaa, s.o. Insofern wärs eigendlich sinnvoll, wenn jeder ne eigene Methode wählt, um das Paswort zu übertragen… Finde ich zumindest… ,-) Captchas: *schauder* schreckliche Dinger! Niemand liebt sie. Aber wer schon mal eine Datenbank ausmisten durfte, in der über Nacht plötzlich 20000 neue “User” aufgetaucht sind, der findet sie plötzlich gar nicht mehr so unsexy Jein. Ich betreibe ne etwas grössere Seite und dadurch, dass die Anmeldung über Mails verifiziert wird, schaffen es die Leute nicht.
Man muss halt dafür sorgen, dass die Datenbank nicht mit unbestätigten Aufrufen voll läuft. Ich hab das so geregelt, dass bei einem klick auf Neuanmeldung erst mal alle unbestätigten Anmeldungen älter als x Tage gelöscht werden. Oder halt cronjob, was ich als Stilsache sehe. Ich finds ganz gut, wenn die Webapp gleich alles erledigt und nicht noch Stützen braucht. Andersrum: der Spammer, der vor einiger Zeit einen meiner Domainnamen als Absender für seine Kredit-Spams benutzt hat, hätte sich später sicher gewünscht, er hätte auf dem Formular auf seiner Website einen Captcha angebracht LOL!!! Naja, so schlimm ist ja so ne Anmeldung nicht. Selbst wenn jemand automatisiert 1M Accounts anmeldet, die nicht freigeschaltet werden lacht ne moderne Datenbank dadrüber. Nun, erst mal viele Grüße und ich hoffe auf mehr Kommentare für zukünftige Einträge…