JAVA und JAVA–Applets als Passwortabfrage |
|
---|---|
26.07.2005, 01:10
...neu hier
Beiträge: 3 |
|
|
|
26.07.2005, 01:40
Member
Beiträge: 4730 |
#2
Ja klar, die Sachen mit JavaScript sind auch Pipifax. JavaScript lässt sich aber nicht mit Java vergleichen, da es zwei grundsätzlich unterschiedliche Dinge sind. Wenn Du eine Passwortkontrolle mit einem Java-Applet gestaltest, ist sie mit Sicherheit sicherer als eine Passwortabfrage per JavaScript - egal wie einfallsreich auch immer. Das liegt in der Natur der Dinge. Ein Java-Applet ist ein eigenständiges Programm, während JavaScript nur ein einfacher Code ist, der damals von Netscape eingeführt wurde, um Webseiten dynmisch zu gestalten (und mit Java überhaupt nichts zu tun hat, abgesehen vom irreführenden Namen).
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
26.07.2005, 01:48
...neu hier
Themenstarter Beiträge: 3 |
#3
Danke erstma. Dann hab ich also von Fischen gesprochen und er hat mir einen Vogel als Gegenbeispiel geliefert! ;-)
Aber ich nehm an, dass die Applets ebenfalls nicht annähernd 100% Schutz bieten, oder? Zum Code oben nochmals: Kann mir jemand sagen, wie der grob aufgebaut ist? Ich seh daraus nicht mal, wo z.Bsp. die eingegeben Accountdaten mit den richtigen Zugangsdaten verglichen werden. Mit welcher Datei aufm Server wird das Zeug verglichen? Oder kann man diese Abfrage einfach umgehen? :-? --- EDIT: Meine Fresse... tut mir leid, dass ich euch mit dem Spass belästigt hab. Das lustige File heisst in.txt und liegt einfach ungeschützt und unverschlüsselt auf dem Server und kann direkt mit dem Brwoser geöffnet werden. Der wird sich freuen! :-D Grosses Sorry! Dieser Beitrag wurde am 26.07.2005 um 01:59 Uhr von PEKA_m editiert.
|
|
|
28.10.2005, 15:03
...neu hier
Beiträge: 2 |
#4
hmmm hab da mal ne frage was muss denn in der in.txt datei stehen?????
also wasweiß ich aber wie??könnt ich gut für meine hp brauchen |
|
|
28.10.2005, 16:02
...neu hier
Themenstarter Beiträge: 3 |
#5
die datei auf der seite, die ich angeschaut habe, lautet wie folgt:
Code start.html |
|
|
28.10.2005, 16:05
...neu hier
Beiträge: 2 |
#6
und daraus soll ich schlau werden????
kannst du bitte das passwort passwort nennen und den namen (falls es einen gibt) login nennen???? wär voll nett und wie bind ich das dann in die homepage ein??? wär voll nett wenn ihr mir helft!!! ich hab nicht sioooooooooo große erfahrung^^ /edit: Danke hat sich schon erledigt hab was besseres gefunden!!! Dieser Beitrag wurde am 28.10.2005 um 18:12 Uhr von MainP editiert.
|
|
|
29.10.2005, 17:09
Member
Beiträge: 4730 |
#7
Aber so wie es auschaut, ist "intranet" der Benutzername, "rwirwi" das Passwort, "start.html" die Datei, die dann aufgerufen wird. Die letzten beiden Zeilen sind nur dazu da, debug-Meldungen zu unterdrücken.
Sicher ist dieser Schutz aber auch nicht, da man die start.html auch einfach so aufrufen könnte. Besseren Schutz bietet ein Script mit PHP, welches auf jeder Seite eingebunden wird, um zu überprüfen, ob eine gültige Log-In-Session (oder Cookie) existiert. Am sichersten ist IMHO ein Passwortschutz mit htaccess. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
29.10.2005, 17:35
...neu hier
Beiträge: 9 |
#8
Sicher ist das bestimmt nicht,
auf den ersten Blick sieht es so aus, als ob das applet per HTTP die Passwort/Benutzer Datei lädt, und dann überprüft, ob die Kombination, die eingegeben wurde, vorhanden ist. Hat man den Quellcode des Applets nicht, benutzt man den beim JDK vorhandenen decompiler javap (Aufruf: javap -verbose), so findet man auch den Namen der Passwort/Benutzer Datei. Bei mir ist die entspechende Zeile "489: ldc #87; //String in.txt". Lädt man nun per HTTP die Datei vom Server, hat man sämtliche Benutzer und ihre Passwörter. Ist nur etwas komplizierter als mit Javascript. |
|
|
01.11.2005, 11:12
...neu hier
Beiträge: 1 |
|
|
|
Unzweifelhaft haben hier viele von euch ein ganzes Stück mehr Wissen als ich. Ich hoffe ihr werdet trotzdem auf meine Frage eingehen. Besten Dank schon mal im Voraus!
Also:
Habe mal so zum Spass und ohne viel Wissen angefangen ein bisschen bei diesen Hacking-Spielen (http://board.protecus.de/t5919.htm) mitzuknobeln. Jetzt sagt mir aber ein Bekannter, dass das alles Pippifax sei und dass sich eine gut gemachte Passwortabfrage mit Java-Applets nicht knacken liesse. Als Beweis(versuch) setzte er mir eine Passwortabfrage vor, von den ich unten den Quellcode gepostet hab (vom Server runtergeladen und decompiled).
Wenn ich mir den angehängten Quelltext anschau, dann muss ich ihm schon fast zustimmen... ich schnall nicht mal den Aufbau des Skripts, geschweige denn eine Möglichkeit, irgendwo was zu finden.
Ich hoff ihr habt was für mich...würd mich nerven, wenn ich ihm (wie meistens) recht geben muss!
Code
Offtopic -> Boah... dieses Blöde Ding ist ja ne Elle lang... Ich hoff das liest überhaupt einer