Ergebnis 1 bis 10 von 20

Thema: Admin Passwort ungeschützt

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Moderator
    Registriert seit
    07.07.2006
    Beiträge
    1.370

    Admin Passwort ungeschützt

    Nabend an euch alle, zur Zeit werden wieder massiv Leute und Seiten gehackt, auch ich war betroffen, jemand war mal eben auf meinem EF drauf obwohl dieser ein absolut sicheres Passwort hatte. (Schaden für mich war diesmal 0 zum Glück und andere Geschädigte haben ihr Lose zurückbekommen die der Hacker über meinen EF transferieren wollte)

    Habe lange überlegt, der Hacker musste mein EF Passwort wissen.

    Keylogger ausgeschlossen da ich davor 1-2 Monate nicht im EF war.

    Nun schaue ich mal interessehalber in meine DB, Userdaten alle userfreundlich als Hashs gespeichert, , denke ich mir mal nach dem Admin Passwort schauen, im Klartext gespeichert, schaue zur EF anbindung auch Klartext.

    Ich denke mal dies ist nicht Sinn der Sache das diese sensiblen Daten im Klartext dastehn.

    Wir sollten hier also an einer Lösung arbeiten.

    MfG

  2. #2
    Erfahrener Benutzer
    Registriert seit
    20.06.2007
    Beiträge
    1.905
    So als denkanstoß:
    EF Password muss im klartext sein sonst könnte sich das script ja nicht mit deinem pw im ef einloggen und die lose der user transferieren.

    Ist das Passwort im md5 hash (o.ä.) ist es für das script unbrauchbar, ist es in einem zurückverfolgbaren hash gespeichert d.h. man kann ihn wieder ins klare umwandeln, bringt es eigentlich auch nichts da, wenn sich ein hacker die mühe macht eine seite zu hacken stören die 5 min für das pw knacken auch nicht.
    ---------------
    Die frage bei dir ist nun, wie kommt er den an die PW's, ist er direkt in die DB reingekommen (wenn ja, wei kommt er an das pw, keylogger?) oder hat eine lücke ausgenutzt wodurch er dies auslesen konnte ?

  3. #3
    Erfahrener Benutzer Avatar von Parl
    Registriert seit
    22.05.2008
    Beiträge
    358
    Ich glaube er meint die Eingabefelder im Adminforce, dort stehen diese in normalen input text Feldern drin. Ich habs bei mir auf input type="password" geändert, funktioniert ja genauso. :-)

    Mit den in der db gespeicherten PW's hat Xenon recht, die müssen im Klartext an klamm.de gesendet werden, da müsste notfalls Klamm ne Änderung vornehmen.
    YY Order!
    Meine Loseseite Meine Scripte
    For I am Costanza: Lord of the Idiots!

  4. #4
    Benutzer
    Registriert seit
    08.08.2010
    Beiträge
    57
    Wie wäre es denn, wenn das EF-Passwort im Script und nicht in der DB gespeichert wird?

  5. #5
    Moderator
    Registriert seit
    07.07.2006
    Beiträge
    1.370
    Gegendenkanstoss:

    Wie bei den Usern wird das EF Passwort nur verschlüsselt gespeichert.

    Dann kommt eine neue Funktion welche das Passwort dann wenn Klamm es benötigt halt entschlüsselt und dann an Klamm sendet.

    Wenn dies bei den Usern klappt warum nicht auch bei dem EF ?

    Und Adminforce Login halt wie bei den Usern, wenn der Admin dann doch sein passwort vergisst, kann man es in der DB ja immernoch mit einem bekannten Hash ersetzten.

    Wenn sich nun jemand ins Adminforce einhackt, wie auch immer, der EF aber auch geschützt ist per Hash, guckt der Hacker blöde da er nicht ans EF Passwort kommt, und dieses zu ändern würde ihm nichts bringen.

    MfG

  6. #6
    Erfahrener Benutzer
    Registriert seit
    20.06.2007
    Beiträge
    1.905
    Zitat Zitat von Masterphil Beitrag anzeigen
    G
    Wie bei den Usern wird das EF Passwort nur verschlüsselt gespeichert.

    Dann kommt eine neue Funktion welche das Passwort dann wenn Klamm es benötigt halt entschlüsselt und dann an Klamm sendet.

    Wenn dies bei den Usern klappt warum nicht auch bei dem EF ?
    Wenn ich dich richtig verstanden habe, meinst du dass man das EF Pw als hash speichern sollte wie bei den usern ?
    Nein, dass geht nicht, da wenn sich der user einloggt und "12345" eingibt wird es in ein hash gewandelt und mit dem hash in der DB verglichen, die user hashes werden NICHT!!! entschlüsselt, das geht nicht.
    Nutzt man ein zurückverfolgbaren hash/ zuentschlüsselbaren hash:
    .....ist es in einem zurückverfolgbaren hash gespeichert d.h. man kann ihn wieder ins klare umwandeln, bringt es eigentlich auch nichts da, wenn sich ein hacker die mühe macht eine seite zu hacken stören die 5 min für das pw knacken auch nicht.

Ähnliche Themen

  1. 1 Admin + 1 Admin mit eingeschränkten Rechten anlegen?
    Von TS7 im Forum [HD] Codeschnippsel
    Antworten: 21
    Letzter Beitrag: 25.02.2010, 02:43
  2. Admin zugang Passwort vergessen
    Von gewitter im Forum Support zum VMSone
    Antworten: 8
    Letzter Beitrag: 12.12.2008, 21:13
  3. EF Passwort zu sehen
    Von Ische2K im Forum Support zu Addons & Erweiterungen
    Antworten: 8
    Letzter Beitrag: 09.01.2008, 16:50
  4. admin Passwort
    Von Sack im Forum [HD] Programmieren
    Antworten: 3
    Letzter Beitrag: 17.11.2007, 12:32
  5. Admin Login+Co admin
    Von halk im Forum [HD] Programmieren
    Antworten: 8
    Letzter Beitrag: 10.09.2007, 14:05

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •