Forum

> > Unreal Software > Sicherheit automatisches Einloggen
Forums overviewUnreal Software overviewLog in to reply

German Sicherheit automatisches Einloggen

8 replies
To the start Previous 1 Next To the start

old Sicherheit automatisches Einloggen

Nova
User Off Offline

Quote
Wie funktioniert das automatische Wieder-Einloggen, wenn man beispielsweise den Browser neustartet und dabei das eine Kästchen bei der Anmeldung aktiviert hatte? Wahrscheinlich ja per Cookie, aber wie wird der entsprechende Wert berechnet?
(Frage aus sicherheitstechnischen Überlegungen, falls es jemand interessiert. ^^)

old Re: Sicherheit automatisches Einloggen

DC
Admin Off Offline

Quote
Ja, die Logindaten (Name und Passwort) werden in einem Cookie gespeichert. Es ist nicht besonders schwer, die Daten aus dem Cookie zu gewinnen, auch wenn sie nicht im Klartext drin stehen.
Aus diesem Grund sollte man auf unsicheren Rechnern und vor allem auch auf Rechnern, die noch andere nutzen, den automatischen Login über Cookies natürlich nicht nutzen oder sich zumindest richtig ausloggen (wobei der Logincookie gelöscht wird).

old Re: Sicherheit automatisches Einloggen

VADemon
User Off Offline

Quote
Könnte man nicht anstelle der Daten (username&password) in nur Hash-Wert(e) in Cookies speichern und sich dann mit diesen Daten einloggen?
(eingegebene username:password -> username:passwordHash -> an Server senden?)

old Re: Sicherheit automatisches Einloggen

ohaz
User Off Offline

Quote
Könnte man. Viele Webseiten speichern aber einfach die Logindaten in die cookies. Wenn jemand physikalischen Zugriff auf deine Maschine hat ist eh schon alles zu spät. Dann bringt dir tolle Verschlüsselung auch nichts mehr.

old Re: Sicherheit automatisches Einloggen

Nova
User Off Offline

Quote
Im Grunde hast du Recht, user ohaz, allerdings erhöht man das Risiko so dennoch. Zum einen werden damit bei jeder Anfrage an den Server die Cookies (und damit anscheinend auch das leicht zu berechnende Passwort) übersendet, und zum anderen würde es so viel leichter fallen, eben das Passwort vom PC zu lesen und zu verschwinden. Einen Keylogger (oder ähnliches) zu installieren ist zwar nicht schwer, aber doch schwieriger als eben Dateien im Browser-Verzeichnis zu lesen.
Die Frage ist dabei: Wie werden die Daten selber im Cookie gespeichert? Per Hash-Funktion oder in "leichterer Art" wie beispielsweise Base64-Kodierung?
Alles in allem ist das kein großes Sicherheitsrisiko bei einer vom Geldwert eher gering einzuschätzenden Seite wie Unreal Software, aber falls man irgendwann sowieso sich um die Auto-Login-Funktion kümmert, könnte man in das Thema 5 Minuten Gedanken investieren.

Alles in allem sollte man nicht darauf vertrauen, dass der Login auf Unreal Software übermäßig sicher ist. (Keine Verschlüsselung per bspw. SSL oder so.) Ob das jetzt wirklich für solch eine Seite nötig ist (SSL ist aufwendig einzubauen) sei mal dahingestellt.


Persönlich mach ich mir schon längere Zeit Gedanken über mein Verhalten und die Sicherheit im Netz. Das NSA-Zeugs trug da nur einen Teil bei. Die Sicherheit von mir genutzten Seiten spielt da auch eine Rolle. Verschlüsselung und das ganze Drum-herum ist aber auch (für mich) ein spannendes Thema.

old Re: Sicherheit automatisches Einloggen

ohaz
User Off Offline

Quote
user Nova has written
Zum einen werden damit bei jeder Anfrage an den Server die Cookies (und damit anscheinend auch das leicht zu berechnende Passwort) übersendet [...]
Alles in allem sollte man nicht darauf vertrauen, dass der Login auf Unreal Software übermäßig sicher ist. (Keine Verschlüsselung per bspw. SSL oder so.) Ob das jetzt wirklich für solch eine Seite nötig ist (SSL ist aufwendig einzubauen) sei mal dahingestellt.
Ja, da fände ich es viel sinnvoller https / SSL zu verwenden. Vielleicht sollte sich DC mal irgendwo ein kostenloses Zertifikat holen und dann auf HTTPS umsteigen. Wäre definitiv schonmal um einiges sicherer. Sobald er ein Zertifikat hat ist es nicht mehr so aufwendig https einzurichten

old Re: Sicherheit automatisches Einloggen

DC
Admin Off Offline

Quote
Ja, es handelt sich einfach um eine einfache Base64-Kodierung.

Was soll es bringen clientseitig einen Hash zu speichern statt dem Passwort? Dann muss man sich mit dem Hash einloggen können (weil Hashfunktionen immer Einweg-Funktionen sind). Dann hat der Angreifer halt den Hash und loggt sich damit ein statt mit dem Passwort. Im Account ist er danach trotzdem.

Das Passwort wird so oder so beim Login im Klartext gesendet. Wie bei jeder Seite ohne SSL. Ob die Daten aus der manuellen Eingabe oder einem Cookie kommen, macht keinen Unterschied.

Ein Schutz über SSL ist tatsächlich relativ einfach einzubauen, allerdings muss man Geld für ein Zertifikat bezahlen, wenn der Browser einen nicht mit Warnmeldungen zubomben soll. Da hier keine Transaktionen mit Geld o.ä. stattfinden, halte ich es nicht für nötig viel Geld in SSL-Zertifikate zu investieren.

old Re: Sicherheit automatisches Einloggen

VADemon
User Off Offline

Quote
@user DC:
Hash-Passwörter: Natürlich stimmt alles was du sagst, aber bei dieser Methode wüsste der Angreifer nur die Login-Daten von us.de (auch wenn der einzelne User das gleiche Passwort auf allen Webseiten benutzt). Persönlich finde ich, dass sich der Aufwand lohnen würde.

SSL: user ohaz hat ja schon geschrieben, dass es kostenlose Zertifikate gibt, bloß hier herrscht bei mir Unsicherheit (ah, Marketing & menschliche Natur). Der Rechenaufwand wäre ohnehin minimal (eigentlich nur die Anmeldeseite + Profil-Änderung)

old Re: Sicherheit automatisches Einloggen

DC
Admin Off Offline

Quote
Zertifikate müssen erneuert werden und bla und blubb und bei den kostenfreien muss man wahrscheinlich erstmal eine Warnmeldung wegklicken - was User die es nicht richtig durchlesen oder die keine Ahnung haben sehr verunsichern dürfte. Ich wollte das trotzdem früher schon mal optional als Alternative einbauen, nur habe ich damals irgendwas falsch gemacht. Wenn mir langweilig ist (das kommt aber eher selten vor) werde ich es noch mal versuchen.

Wer noch immer so blöd ist, das gleiche Passwort für verschiedene Zwecke zu nutzen, gehört bestraft. Eine zusätzliche Loginoption per Hash wäre gleichzeitig ein weiteres Einfallstor für Angreifer und somit würde ich davon gerne absehen wollen.
To the start Previous 1 Next To the start
Log in to replyUnreal Software overviewForums overview