Login ja, aber sicher?

Einklappen
X
Einklappen
 
  • Seite von 4
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 4 template Weiter
  • #16
    Entbehrlicher Spaß.
    Naja, Wenn ich mir manchmal solche Scripte anschaue die darauf verzichten (leider zu viele), läuft es mir eiskalt den Rücken runter.
    Ich finde dies ist ein absoluter Sicherheitspunkt.
    Wir haben alle mal angefangen!

    Kommentar

    • #17
      @Greaseball: Wieso bestimmte Zeichen für die Passwort-Eingabe nicht zulassen? Wenn das Passwort gehasht wird, bleiben doch nur noch "gültige" Zeichen übrig. Wenn du mich fragst, dann begrenzt du damit nur den Zeichen-Pool eines Passworts und damit die möglichen Passwort-Kombinationen. Oder habe ich da einen Aspekt übersehen?
      Nieder mit der Camel Case-Konvention

      Kommentar

      • #18
        Das ist wohl wahr, aber ich gehe immer nach dem Motto:
        Sicher ist sicher.

        Je mehr man vorbeugt um so weniger Probleme hat man nachher.
        Deswegen kontrolliere ich ganz genau was da reinkommt und ob es so auch in Ordnung ist.
        Wir haben alle mal angefangen!

        Kommentar

        • #19
          Original geschrieben von Greaseball
          Das ist wohl wahr, aber ich gehe immer nach dem Motto:
          Sicher ist sicher.
          Nonsense ist Nonsense.
          Je mehr man vorbeugt um so weniger Probleme hat man nachher.
          Gegen etwas "vorbeugen", was überhaupt keine Gefahrenquelle darstellt?
          Deswegen kontrolliere ich ganz genau was da reinkommt und ob es so auch in Ordnung ist.
          Definiere "in Ordnung" für die Zusammensetzung eines Passwortes.


          Ein vernünftiger Grund für die Zeichenbeschränkung bei der Wahl eines Passwortes wären bspw. Sonderzeichen wie deutsche Umlaute, die der Nutzer an fremdsprachingen Systemen gar nicht so ohne weiteres eingeben kann.

          Aber "viel hilft viel" in Punkto Sicherheit ist Quark - und eher ein Indiz dafür, dass jemand die potentiell existenten Gefahren noch gar nicht identifizieren konnte, und stattdessen mal fleissig im Heuhaufen rumstochert.
          I don't believe in rebirth. Actually, I never did in my whole lives.

          Kommentar

          • #20
            Greaseball: im grunde hat wahsaga auch schon alles gesagt. ich sehe überhaupt keine gefahr darin, dass meine nutzer _alles_ eingeben können _überall_, wo sie wollen. und ich bin mir sicher, dass ich ihre eingaben immer korrekt abarbeite. da ich nahezu alle formen von validierung ablehne, bitte ich dich mir _konkret_ und ohne abstraktes gerede zu erklären, was daran "gefährlich" ist, wenn ein benutzer im feld "name" oder "passwort" folgendes eingibt:
            Code:
            <h1>format c:`?°=!"`ÜP*ÜL!"ħK)=(§$%?=)(°?!"-.;>Y`rm -rf`,.-\}²{[unlink(*)}]
            oder einen beliebigen string deiner wahl (bitte mit beispielen).
            Zuletzt geändert von penizillin; 05.02.2007, 13:48.

            Kommentar

            • #21
              Original geschrieben von Greaseball

              if (!preg_match('/[a-z0-9]+([-_\.]?[a-z0-9])+@[a-z0-9|ü|ä|ö]+([-_\.]?[a-z0-9|ü|ä|ö])+\.[a-z]{2,4}/',$_POST['emailadresse']))
              fakeadresse@gmx.com

              wird dann allerdings auch als gültig anerkannt. um ne emailadresse wirklich zu überprüfen, gibts für mich nur eine möglichkeit. freischaltcode an diese zu schicken.

              Kommentar

              • #22
                um ne emailadresse wirklich zu überprüfen, gibts für mich nur eine möglichkeit. freischaltcode an diese zu schicken.
                Soweit so gut. Aber was tun gegen trash-mail.de & Co? Gibts schon eine öffentliche Liste von IP-Adressen von Servern die "Wegwerf-Mailadressen" bereitstellen? Sonst ist das mit dem Freischaltcode nämlich hinfällig...

                Kommentar

                • #23
                  http://board.protecus.de/t24733.htm

                  aber sie zu sperren ist ebenfalls willkürlicher unsinn, weil es niemandem zusteht zu urteilen, welche email adresse ich nutzen soll.

                  edit: sind auch ganz normale services dabei.

                  Kommentar

                  • #24
                    Eingabevalidierung zur überprüfung der Echtheit der Daten? Hihi.

                    Die Mail-Adresse check ich jedenfalls nur, um den Nutzer darauf hinzuweisen, dass er sich offensichtlich vertippt hat. Aber für Supermegapr0nload ist das natürlich was anderes.
                    [FONT="Helvetica"]twitter.com/unset[/FONT]

                    Shitstorm Podcast – Wöchentliches Auskotzen

                    Kommentar

                    • #25
                      Original geschrieben von tracer23
                      Soweit so gut. Aber was tun gegen trash-mail.de & Co? Gibts schon eine öffentliche Liste von IP-Adressen von Servern die "Wegwerf-Mailadressen" bereitstellen? Sonst ist das mit dem Freischaltcode nämlich hinfällig...
                      da hast du recht, aber diese emaildienste kann man ja ausschließen.
                      100%ige Sicherheit gibt es nicht, aber man sollte trotzdem versuchen es fakern etwas schwieriger zu machen

                      Kommentar

                      • #26
                        Dass dieser "böse Faker" einfach nur nicht wild mit seinen Daten um sich werfen will, wird hierbei wohl gar nicht berücksichtig, was?
                        [FONT="Helvetica"]twitter.com/unset[/FONT]

                        Shitstorm Podcast – Wöchentliches Auskotzen

                        Kommentar

                        • #27
                          Original geschrieben von unset
                          Dass dieser "böse Faker" einfach nur nicht wild mit seinen Daten um sich werfen will, wird hierbei wohl gar nicht berücksichtig, was?
                          naja ich hab 4 verschiedene email adressen in benutzung
                          eine ist quasi mein inet mail account wo alle registrationsmails hingehen und ne private, welche nur für private korrespondenz genutzt wird.

                          ich denke für ne bessere kontrolle und erreichbarkeit sollte jeder schon ne mail addy opfern können. solang man schuhgröße, unterwäschefarbe und kreditkartennummer nicht angeben muss, ist es meiner meinung nach halb so wild

                          Kommentar

                          • #28
                            Um mal hier was richtig zu stellen.
                            Bei der eMail-Adresse geht es allein darum, zu prüfen ob die Syntax stimmt.
                            Ob diese vorhanden ist, stelle ich damit nicht fest.

                            Die weitere Prüfung erfolgt durch einen Freischaltlink.

                            Natürlich ist es richtig das man jede art von eMail-Adresseb angeben kann, auch die "weg-werf-adressen".

                            Bei der Validierung versuche ich einem SQL-Injection vorzubeugen.

                            Natürlich kommt auch der mysql_escape_string zum Einsatz.
                            Ist natürlich auch dafür da dem User auf etwaige Tippfehler aufmerksam zu machen.
                            Wir haben alle mal angefangen!

                            Kommentar

                            • #29
                              Original geschrieben von Greaseball
                              Um mal hier was richtig zu stellen.
                              Bei der eMail-Adresse geht es allein darum, zu prüfen ob die Syntax stimmt.
                              Blöd nur, dass der dafür verwendete reguläre Ausdruck untauglich ist, weil er syntaktisch korrekte Adressen abweist ...

                              Aber das Thema hatten wir hier ja schon öfter.
                              I don't believe in rebirth. Actually, I never did in my whole lives.

                              Kommentar

                              • #30
                                Also bei mir funktioniert er einwandfrei.
                                Was ist den daran falsch?
                                Wir haben alle mal angefangen!

                                Kommentar

                                Vorherige 1 2 3 4 template Weiter
                                Lädt...
                                X