German Sicherheit automatisches Einloggen

8 replies
Goto Page
To the start Previous 1 Next To the start
Up
Nova
User
Offline Off
Wie funktioniert das automatische Wieder-Einloggen, wenn man beispielsweise den Browser neustartet und dabei das eine Kästchen bei der Anmeldung aktiviert hatte? Wahrscheinlich ja per Cookie, aber wie wird der entsprechende Wert berechnet?
(Frage aus sicherheitstechnischen Überlegungen, falls es jemand interessiert. ^^)
Hexenverbrennung, Inquisition, Kreuzzüge... Wir wissen, wie man feiert! - Ihre Kirche
06.05.14 11:29:37 pm
Up
DC
Admin
Offline Off
Ja, die Logindaten (Name und Passwort) werden in einem Cookie gespeichert. Es ist nicht besonders schwer, die Daten aus dem Cookie zu gewinnen, auch wenn sie nicht im Klartext drin stehen.
Aus diesem Grund sollte man auf unsicheren Rechnern und vor allem auch auf Rechnern, die noch andere nutzen, den automatischen Login über Cookies natürlich nicht nutzen oder sich zumindest richtig ausloggen (wobei der Logincookie gelöscht wird).
www.UnrealSoftware.de | www.CS2D.com | www.CarnageContest.com | Use the forum & avoid PMs!
07.05.14 12:58:17 am
Up
VADemon
User
Offline Off
Könnte man nicht anstelle der Daten (username&password) in nur Hash-Wert(e) in Cookies speichern und sich dann mit diesen Daten einloggen?
(eingegebene username:password -> username:passwordHash -> an Server senden?)
07.05.14 06:47:36 am
Up
ohaz
User
Offline Off
Könnte man. Viele Webseiten speichern aber einfach die Logindaten in die cookies. Wenn jemand physikalischen Zugriff auf deine Maschine hat ist eh schon alles zu spät. Dann bringt dir tolle Verschlüsselung auch nichts mehr.
https://ohaz.engineer - Software Engineering
07.05.14 05:37:37 pm
Up
Nova
User
Offline Off
Im Grunde hast du Recht, user ohaz, allerdings erhöht man das Risiko so dennoch. Zum einen werden damit bei jeder Anfrage an den Server die Cookies (und damit anscheinend auch das leicht zu berechnende Passwort) übersendet, und zum anderen würde es so viel leichter fallen, eben das Passwort vom PC zu lesen und zu verschwinden. Einen Keylogger (oder ähnliches) zu installieren ist zwar nicht schwer, aber doch schwieriger als eben Dateien im Browser-Verzeichnis zu lesen.
Die Frage ist dabei: Wie werden die Daten selber im Cookie gespeichert? Per Hash-Funktion oder in "leichterer Art" wie beispielsweise Base64-Kodierung?
Alles in allem ist das kein großes Sicherheitsrisiko bei einer vom Geldwert eher gering einzuschätzenden Seite wie Unreal Software, aber falls man irgendwann sowieso sich um die Auto-Login-Funktion kümmert, könnte man in das Thema 5 Minuten Gedanken investieren.

Alles in allem sollte man nicht darauf vertrauen, dass der Login auf Unreal Software übermäßig sicher ist. (Keine Verschlüsselung per bspw. SSL oder so.) Ob das jetzt wirklich für solch eine Seite nötig ist (SSL ist aufwendig einzubauen) sei mal dahingestellt.


Persönlich mach ich mir schon längere Zeit Gedanken über mein Verhalten und die Sicherheit im Netz. Das NSA-Zeugs trug da nur einen Teil bei. Die Sicherheit von mir genutzten Seiten spielt da auch eine Rolle. Verschlüsselung und das ganze Drum-herum ist aber auch (für mich) ein spannendes Thema.
Hexenverbrennung, Inquisition, Kreuzzüge... Wir wissen, wie man feiert! - Ihre Kirche
07.05.14 06:17:09 pm
Up
ohaz
User
Offline Off
user Nova has written:
Zum einen werden damit bei jeder Anfrage an den Server die Cookies (und damit anscheinend auch das leicht zu berechnende Passwort) übersendet [...]
Alles in allem sollte man nicht darauf vertrauen, dass der Login auf Unreal Software übermäßig sicher ist. (Keine Verschlüsselung per bspw. SSL oder so.) Ob das jetzt wirklich für solch eine Seite nötig ist (SSL ist aufwendig einzubauen) sei mal dahingestellt.
Ja, da fände ich es viel sinnvoller https / SSL zu verwenden. Vielleicht sollte sich DC mal irgendwo ein kostenloses Zertifikat holen und dann auf HTTPS umsteigen. Wäre definitiv schonmal um einiges sicherer. Sobald er ein Zertifikat hat ist es nicht mehr so aufwendig https einzurichten
https://ohaz.engineer - Software Engineering
07.05.14 10:12:07 pm
Up
DC
Admin
Offline Off
Ja, es handelt sich einfach um eine einfache Base64-Kodierung.

Was soll es bringen clientseitig einen Hash zu speichern statt dem Passwort? Dann muss man sich mit dem Hash einloggen können (weil Hashfunktionen immer Einweg-Funktionen sind). Dann hat der Angreifer halt den Hash und loggt sich damit ein statt mit dem Passwort. Im Account ist er danach trotzdem.

Das Passwort wird so oder so beim Login im Klartext gesendet. Wie bei jeder Seite ohne SSL. Ob die Daten aus der manuellen Eingabe oder einem Cookie kommen, macht keinen Unterschied.

Ein Schutz über SSL ist tatsächlich relativ einfach einzubauen, allerdings muss man Geld für ein Zertifikat bezahlen, wenn der Browser einen nicht mit Warnmeldungen zubomben soll. Da hier keine Transaktionen mit Geld o.ä. stattfinden, halte ich es nicht für nötig viel Geld in SSL-Zertifikate zu investieren.
www.UnrealSoftware.de | www.CS2D.com | www.CarnageContest.com | Use the forum & avoid PMs!
08.05.14 04:58:12 pm
Up
VADemon
User
Offline Off
@user DC:
Hash-Passwörter: Natürlich stimmt alles was du sagst, aber bei dieser Methode wüsste der Angreifer nur die Login-Daten von us.de (auch wenn der einzelne User das gleiche Passwort auf allen Webseiten benutzt). Persönlich finde ich, dass sich der Aufwand lohnen würde.

SSL: user ohaz hat ja schon geschrieben, dass es kostenlose Zertifikate gibt, bloß hier herrscht bei mir Unsicherheit (ah, Marketing & menschliche Natur). Der Rechenaufwand wäre ohnehin minimal (eigentlich nur die Anmeldeseite + Profil-Änderung)
08.05.14 06:45:39 pm
Up
DC
Admin
Offline Off
Zertifikate müssen erneuert werden und bla und blubb und bei den kostenfreien muss man wahrscheinlich erstmal eine Warnmeldung wegklicken - was User die es nicht richtig durchlesen oder die keine Ahnung haben sehr verunsichern dürfte. Ich wollte das trotzdem früher schon mal optional als Alternative einbauen, nur habe ich damals irgendwas falsch gemacht. Wenn mir langweilig ist (das kommt aber eher selten vor) werde ich es noch mal versuchen.

Wer noch immer so blöd ist, das gleiche Passwort für verschiedene Zwecke zu nutzen, gehört bestraft. Eine zusätzliche Loginoption per Hash wäre gleichzeitig ein weiteres Einfallstor für Angreifer und somit würde ich davon gerne absehen wollen.
www.UnrealSoftware.de | www.CS2D.com | www.CarnageContest.com | Use the forum & avoid PMs!
To the start Previous 1 Next To the start