Tipp zum Einloggen
Chef 
, Mittwoch, 20.02.2008, 06:27 (vor 6550 Tagen)
bearbeitet von unbekannt, Mittwoch, 20.02.2008, 10:06
Den folgenden Beispiel-Link
http://www.dasgelbeforum.net/login.php?username=Testuser&userpw=testpasswort
kann sich jeder registrierte User mit seinen Anmeldedaten selber basteln und sich dann per Mausklick auf den Link hier anmelden.
Ich kann nur davor warnen!
kieselflink , Mittwoch, 20.02.2008, 06:56 (vor 6550 Tagen) @ Chef
bearbeitet von unbekannt, Mittwoch, 20.02.2008, 10:07
http://www.dasgelbeforum.net/login.php?username=Testuser&userpw=testpasswort
Warum?
Weil es erfahrungsgemäß nicht lange dauert, bis solche URLs auch in den Trefferlisten bei Google und Konsorten auftauchen. Es ist nämlich nur eine Frage der Zeit, bis solche Links den Weg in die Freiheit finden.
Damit ist dann die Authentizität der hier registrierten User endgültig dahin...
Und das fänd' ich schade ![[[motz]]](images/smilies/motz.gif)
.
Mein Vorschlag: Das beste wäre, die Anmeldemöglichkeit via GET gleich wieder zu unterbinden und nur Anmeldung per POST (sprich per Formulareingabe) zu erlauben. Ist doch auch kein Mehraufwand - der Browser kann das doch auch automatisch eintragen...
Was sagt Ihr? Und v.a. CHEF?
--
cheers - kieselflink
ach was!
Chef , Mittwoch, 20.02.2008, 07:19 (vor 6550 Tagen) @ kieselflink
bearbeitet von unbekannt, Mittwoch, 20.02.2008, 10:07
http://www.dasgelbeforum.net/login.php?username=Testuser&userpw=testpasswort
Warum?
Weil es erfahrungsgemäß nicht lange dauert, bis solche URLs auch in den
Trefferlisten bei Google und Konsorten auftauchen. Es ist nämlich nur eine
Frage der Zeit, bis solche Links den Weg in die Freiheit finden.
Wie bitte? Du sollst natürlich nicht deinen Link posten, nur draufklicken.
Nirgendwo kann der auftauchen!
Ganz sicher taucht der auf.
SchlauFuchs 
, Neuseeland, Mittwoch, 20.02.2008, 07:45 (vor 6550 Tagen) @ Chef
Wenn z.B. jemand in Firefox seine Favoritendatei sichert unter eigene Dateien. Das ist im Prinzip nix anderes als eine HTML-Seite mit Links. Derjenige ist vielleicht ein Filesharer, der - wie DAU's das normalerweise immer tun - seine Download-Verzeichnisse unglücklich eingestellt hat und seine privaten Dateien verteilt. Und schwupps ist se offen.
Selbst wenn der Benutzer kein DAU ist (ein Arzt würde schreiben: Der Patient bestreitet, DAU zu sein), kann ein Virus, der auf der Suche nach heiklen Daten ist, sich die Links bei Firefox abholen, auf der Suche nach was wertvollem, kompromittierbarem...
Glaub es den Fachleuten, jedes in Klartext gespeicherte oder ablesbare Passwort macht es den Hackern zum Kinderspiel.
Ciao!
SF
und selbst wenn .....
Chef , Mittwoch, 20.02.2008, 09:07 (vor 6550 Tagen) @ SchlauFuchs
was passiert dann?
Dann schreibt ein böser Mensch etwas unter falschem Namen - und wird ruckzuck gelöscht.
Einspruch, Euer Ehren...
kieselflink , Mittwoch, 20.02.2008, 08:09 (vor 6550 Tagen) @ Chef
Ich staune immer wieder über die Sorglosigkeit vieler User. Und noch mehr über die vieler Anbieter...
Wie bitte? Du sollst natürlich nicht deinen Link posten, nur
draufklicken.
Nirgendwo kann der auftauchen!
Doch. Ist ein kleines Beispiel von mehreren Möglichkeiten erlaubt?
Kaum einem ist der Referrer-Parameter im HTML-Protokoll bekannt.
Der Referer wird durch den Browser erzeugt und enthält die Adresse der zuletzt besuchten Seite. Klingt nicht schlimm, oder?
Aber: Über diesen Parameter weiß der Webserver, welche Seite zuvor aufgerufen wurde.
Wenn sich CHEF oder einer der anderen inzwischen 460 User also ein einziges Mal
- in der oben geschilderten Art im Gelben anmeldet und dann
- nicht erst auf einen Link im Gelben klickt sondern z.B. eine Google-Suche macht
dann hat Google die Anmeldedaten vom Forum.
Punkt.
Oder so:
Jemand nutzt Mozilla, SeaMonkey, Opera oder einen anderen kombinierten Browser/Mailer - auch von neueren Handys aus:
- Beim Gelben anmelden.
- Ohh - neue Mail ist da
- Mail wird gelesen
dann war's das wohl schon...
Denn in den Mail sind oft Bilder, Inlines oder versteckte 1x1-Pixel drin, die automatisch nachgeladen werden. Bumms - sind die Anmeldedaten des Gelben via http per Referer verschickt an den Absender der Mail
Siehe auch http://de.wikipedia.org/wiki/Referrer
--
cheers - kieselflink
Muss natürlich http-Protokoll heissen - sorry... (oT)
kieselflink , Mittwoch, 20.02.2008, 08:11 (vor 6550 Tagen) @ kieselflink
- kein Text -
Im alten Forum war das ziemlich genial.
heller , Mittwoch, 20.02.2008, 07:21 (vor 6550 Tagen) @ kieselflink
Wenn irgend möglich, sollte jene Art der Passworteingabe auch hier nachvollzogen werden.
Was den Einbau von Nutzername und Passwort in die privaten Shortcuts angeht, kann ja jeder machen was er will. Ob das ausgespäht werden kann (z.B. weil sich eine Web-Domain nicht nur merken kann, zu welcher anderen ein Betrachter abwandert, sondern mit welchen Parametern), weiß ich nicht. Das wäre in der Tat eine kapitale Sicherheitslücke im Web (das ginge ja dann wenn's ganz dumm kommt auch mit ID und Passwort für's Online-Konto).
Zum Timeout beim Texteschreiben hier noch einen Tip:
man kann die Viertelstunde auch verlängern, indem man ab und zu die "Vorschau"-Taste drückt.
