Was identifiziert einen Benutzer am besten?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Was identifiziert einen Benutzer am besten?

    Ja, es geht um das leidige Thema der Sicherheit einen User zu identifizieren.

    Der Thread soll als sammlung an variablen dienen, die man dazu verwenden kann.
    Also möglichst einzigartige werte, anhand derer man einen User erkennt.

    Die Grundidee: bei einem Loginsystem wird ein Hash aus einer Verkettung dieser Werte mitgespeichert, und bei jedem Neuladen gebildet und mit dem gespeicherten verglichen.
    Die Werte müssen also bei jedem Seitenaufruf die selben bleiben.

    Wenn ich genügend Werte habe, folgt ein Tutorial dazu.

    IP/Hostname würde ich gerne aussen vor lassen, da sie nicht wirklich gut dazu geeignet sind.


    Also los:
    • HTTP_USER_AGENT
    • HTTP_ACCEPT
    • HTTP_ACCEPT_LANGUAGE
    • HTTP_ACCEPT_ENCODING
    • HTTP_ACCEPT_CHARSET

  • #2
    ich weiss ja nicht was du vor hast ... aber ... lies dir das hier mal durch. damit wird ein user zweifelsfrei identifiziert.
    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


    Kommentar


    • #3
      lies doch was ich vorhabe und was ich dazu brauche.

      bei dem link ist eben das nicht berücksichtigt, wenn ein user seine sessionid weitergibt (per link z.b.) kann ein zweiter sich damit einloggen.

      ich will jetzt werte die vom user kommen und diese beiden user unterscheiden.
      wie oben gesagt müssen diese werte jedesmal gleich sein.

      Kommentar


      • #4
        die MAC-Adresse der netzwerkkarte ist ein sicherer wert, allerdings nur rein theoretisch, da
        • wie kommst du mit php da dran?
        • gibt mittlerweile auch doppelte


        alles was du da oben stehen hast, is für die füße, schließlich kann ich mir ja den gleichen browser installieren wie du, oder?

        die ip scheidet ebenfalls aus und dann bleibt nicht mehr viel


        fakt ist: wenn der user so dumm is, und nen link weitergibt, der seine id beinhaltet, dann isser selbst schuld
        Ich denke, also bin ich. - Einige sind trotzdem...

        Kommentar


        • #5
          natürlich kann man alle werte manuell erreichen, aber das sind die einzigen verwendbaren die mir einfallen ..
          zudem weiss der benutzer nicht , welche verschiedenen werte ich benutze und wie diese zusammengesetzt sind.

          wenn man das ganze in einer unterschiedlichen reihenfolge kombiniert, ist es noch besser, beispielsweise nimmt man die ersten zahlen eines werts und sortiert nach diesen ..


          das argument "selber schuld" kann man leider nicht zählen lassen da man vom user als DAU ausgehen muss, was viele ja leider auch sind.
          Zuletzt geändert von rythms; 29.01.2004, 22:11.

          Kommentar


          • #6
            Original geschrieben von rythms
            das argument "selber schuld" kann man leider nicht zählen lassen da man vom user als DAU ausgehen muss, was viele ja leider auch sind.
            eben. und daher ist es SEHR SINNVOLL in zweifelsfrei über ein UM zu identifizieren.

            denn auch ein DAU loggt sich hin und wieder mal ein..
            INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


            Kommentar


            • #7
              Original geschrieben von rythms
              zudem weiss der benutzer nicht , welche verschiedenen werte ich benutze und wie diese zusammengesetzt sind.
              falscher weg

              warum sind bei guten verschlüsselungsverfahren die algorithmen bekannt?

              das argument "selber schuld" kann man leider nicht zählen lassen da man vom user als DAU ausgehen muss, was viele ja leider auch sind.
              der dau hat xp home oder win2k und surft mit IE, ergo sind die werte gleich...
              Ich denke, also bin ich. - Einige sind trotzdem...

              Kommentar


              • #8
                Original geschrieben von Abraxax
                eben. und daher ist es SEHR SINNVOLL in zweifelsfrei über ein UM zu identifizieren.

                denn auch ein DAU loggt sich hin und wieder mal ein..
                du hast immernoch nicht verstanden worum es geht.
                das ganze läuft zusätzlich zum loginsystem.


                Original geschrieben von mrhappiness
                falscher weg

                warum sind bei guten verschlüsselungsverfahren die algorithmen bekannt?

                der dau hat xp home oder win2k und surft mit IE, ergo sind die werte gleich...
                würde wahrscheinlich eh irgendwann bekannt werden..
                der DAU versucht aber wohl auch nicht, in das system einzudringen, argument ist trotzdem schlecht ..

                aber genau deshalb suche ich ja nach weiteren werten.

                alles was bisher in frage kommt, ist ein hashwert, der sich aus oben genannten werten zusammensetzt..

                nicht grade prickelnd, aber ein klein wenig sicherer ist es dennoch.
                es schliesst nochmal x% der eindringlinge aus.
                absolut sicher wird man so ein system wohl ohnehin nie bekommen.
                Zuletzt geändert von rythms; 29.01.2004, 23:58.

                Kommentar


                • #9
                  Hmm. Über so einen "weichen" Ansatz hab ich auch schon öfter nachgedacht. Als zusätzliches System bzw. eher als System wo kein Login möglich oder erwünscht ist nicht uninteressant. Allerdings würde ich das weiter fassen:

                  - Bildschirmauflösung und Farbtiefe
                  - Exakter User-Agent
                  - Durchaus auch die IP, und zwar den jeweiligen Provider
                  - Region via Traceroute. Warum fragt mein Online-Banking nicht höflich nach mehr Identifikation, wenn ich mich von einer russischen IP aus einwähle?
                  - langfristig und seeeehr liberal zu bewerten: Nutzungsverhalten. Manche Sites guckt man sich bei der Arbeit an, manche zuhause. Wer monatelang eine Site nur von der Arbeit aus (z.B. zwischen 9 und 19 Uhr) besucht, fällt auf, wenn er das plötzlich Werktags nachts um zwei tut. (Wie z.B. ich jetzt, höhö.) Da wäre vielleicht eine zusätzliche Sicherheitsabfrage angebracht.

                  Jeder dieser Punkte kann sich vollkommen legitim ändern oder von Hackern lockerleicht umgangen werden. In Kombination könnten sie aber eine gute "weiche" Zusatzsicherheit darstellen... Die einzelnen Faktoren müßten halt mit unterschiedlicher Gewichtung in einen Hash-Wert o.ä. einfließen. Aber vor allem bei den letztgenannten Punkten viel Spaß bei der Implementation!...

                  Kommentar


                  • #10
                    /me hat nur das Topic gelesen

                    Verlang den Personalausweis!

                    Kommentar


                    • #11
                      ich finde den ganzen ansatz falsch. versuche nicht einen user zu erkennen, sondern versuche zu erkennen, ob ein user 2x mal da ist :P
                      mit session, user ideinem eindeutigen cookie etc. ist das nämlich kein problem
                      h.a.n.d.
                      Schmalle

                      http://impressed.by
                      http://blog.schmalenberger.it



                      Wichtige Anmerkung: Ich habe keine Probleme mit Alkohol ...
                      ... nur ohne :-)

                      Kommentar


                      • #12
                        Original geschrieben von pekka
                        - Region via Traceroute. Warum fragt mein Online-Banking nicht höflich nach mehr Identifikation, wenn ich mich von einer russischen IP aus einwähle?
                        ich bin geschäftlich in russland unterwegs, und will von dort aus schnell eine überweisung online erledigen.
                        und nur deshalb soll ich mir von meiner banking-seite jetzt blöde fragen stellen lassen, was machen sie denn eigentlich in russland ...?

                        btw: wenn mir ein russe die EC-karte mit dummerweise darauf notierter PIN klaut, kann der damit auch in moskau geld abheben - ohne dass der automat sich wundert und fragen stellt, oder ...?
                        Nutzungsverhalten. Manche Sites guckt man sich bei der Arbeit an, manche zuhause. Wer monatelang eine Site nur von der Arbeit aus (z.B. zwischen 9 und 19 Uhr) besucht, fällt auf, wenn er das plötzlich Werktags nachts um zwei tut. (Wie z.B. ich jetzt, höhö.) Da wäre vielleicht eine zusätzliche Sicherheitsabfrage angebracht.
                        "sie waren noch nie um zwei uhr nachts auf dieser seite! wie kommt das jetzt plötzlich? los, erklären sie sich!"

                        dass dieses szenario absoluter unfug und ein horror für jeden datenschützer ist, sollte dir doch wohl klar sein ...
                        I don't believe in rebirth. Actually, I never did in my whole lives.

                        Kommentar


                        • #13
                          dass dieses szenario absoluter unfug und ein horror für jeden datenschützer ist, sollte dir doch wohl klar sein ...
                          Den Einwand hab ich erwartet, hier hab ich mich aber auch ein bisschen mißverständlich ausgedrückt. Es geht, so hab ichs verstanden, um zusätzliche Sicherheitsmassnahmen mit dem Wissen und Einverständnis des Nutzers.

                          und nur deshalb soll ich mir von meiner banking-seite jetzt blöde fragen stellen lassen, was machen sie denn eigentlich in russland ...?
                          Wer hat denn davon gesprochen blöde Fragen zu stellen? Wenn ich öfters Geschäftlich in Ausland bin, will ich keine regionale Abfrage. Habe ich aber einen 9-bis-5-Job und verlasse Deutschland nur für den Urlaub in Mallorca, finde ich es cool, wenn ich bei einem Zugriff z.B. von Rußland oder China aus neben meiner PIN noch nach dem Mädchennamen meiner Mutter (oder was anderem vorher festgelegten) gefragt werde. Datenschutzbedenken halte ich bei dem Szenario für völlig fehl am Platz, denn dass sich mein Nutzer z.B. von einem anderen Land aus einloggt kann ich als Webseitenbetreiber so oder so nachvollziehen.


                          "sie waren noch nie um zwei uhr nachts auf dieser seite! wie kommt das jetzt plötzlich? los, erklären sie sich!"
                          Hier Dito. So wie Du die Frage stellst, ist sie in der Tat der Horror für jeden. Ich rede davon, daß ungewöhnliche Parameter mit unterschiedlicher Gewichtung in ein "Faß" einfliessen. "Läuft" dieses "über", wird der Nutzer nach vorher festgelegten Einstellungen nach zusätzlicher Identifikation gefragt. Die Parameter werden aus Daten ermittelt, die jedem mittelmäßigen Programmierer ohnehin zur Verfügung stehen. Ich halte mich für einen Datenschutztechnisch sehr empfindlichen Menschen und fände eine solche Zusatzsicherheit für den Root-Server oder das Online-Banking total geil. Hier "Big Brother" zu schreien, halte ich für unangebracht. Ob der normale eBay-Nutzer bei sowas mitspielt ("Wie, der kennt mein Nutzungsverhalten?") und wenn ja wie weit, ist eine andere Frage, die hier auch nicht zur Debatte stand.
                          Zuletzt geändert von pekka; 30.01.2004, 11:31.

                          Kommentar


                          • #14
                            Ich will nur kurz einwerfen, dass die immer weiter reichenden Überwachungsmaßnahmen auch unter dem Argument der "erhöten Sicherheit" stehen, und, so gesehen, doch auch von jedem toll gefunden werden müssen.

                            Deine Ideen in allen Ehren pekka, aber sowohl du, als auch wahsaga schäumen das schon ein bischen sehr auf.

                            Die Möglichkeit einer zusätzlichen Abfrage beim Online-Banking zum Beispiel ist doch eine tolle Sache. Das finde ich wirklich eine gute Idee. Anders schon wieder die überwachung und aufzeichnung von Surfverhalten. Nur, weil einem diese Daten zur Verfügung stehen, muss man sie nicht speichern und auswerten. Das wäre, für mich persönlich, ein zu tiefer einschnitt in meine Privatsphäre und ich kann auf dieses minimale Maß an Sicherheit zugunsten meiner Privatsspähre gerne Verzichten.

                            Wie wäre es denn zum Beispiel mal mit Warnhinweisen: "Achtung, sie benutzen den Internet Explorer 5.1. Es besteht die Möglichkeit ausführbaren Code unbemerkt an ihnen vorbeizuschleusen und Viren, Trojaner und andere Programme auf ihrem Rechner zu installieren"? (Das werde ich mir für mein nächstes Projekt mal vornehmen). Aber ich schweife ab...

                            Privatssphäre und größtmögliche Sicherhheit ist immer ein Drahtseilakt.

                            P.S.: Was ist eigentlich imt Leuten, die grundsätzlich über Proxys surfen... Malaysische zum Beispiel?! =)

                            Kommentar


                            • #15
                              P.S.: Was ist eigentlich imt Leuten, die grundsätzlich über Proxys surfen... Malaysische zum Beispiel?! =)
                              Die sind eh nicht ganz sauber und sollten gleich mal untersucht werden! Wer nix zu verbergen hat tut sowas nicht!
                              Im Ernst: Wenn ich einen malaysischen Proxy benutze, schalte ich die regionale Prüfung ab und fertig. Mir geht es drum, meinem Onlinebanking sagen zu können: "Ich logge mich nicht oft mit einer westmongolischen IP um drei uhr viezig nachts ein, um eine 50000-Euro-Überweisung an ein Konto auf den Antillen zu tätigen. Sollte das passieren, frag doch bitte sicherheitshalber nochmal nach dem Kastrationsdatum meines zweiten Hundes, damit sicher ist dass ich es bin."

                              OK, das mit dem Nutzungsprofil ist ein bisschen heftig, sehe ich ein. Wobei das auch nur ein Hash-Wert wäre aber egal. Zum Rest steh ich aber. Es muß natürlich gewährleistet sein, daß vom Normalen abweichende Parameter nicht zu einer Sperrung führen anstatt einer zusätzlichen Sicherheitsabfrage.

                              Kommentar

                              Lädt...
                              X