Ist mein Login Script sicher?

#1 Hallo,

ich bin gerade dabei meine Homepage aufzubauen und für mein Newsscript und noch einige andere Sachen hab ich ein Login-Script zusammengebaut. Das Script basiert auf einem Artikel den ich bei oreilly.de gefunden habe.

Wenn die Loginseite aufgerufen wird fange ich eine Session an. Auf der Seite gibt dann ein ein Formular mit 2 Feldern, einmal "Username" und dann "Passwort".

Die Verschlüsselung des Passwortes läuft dann wie folgt:

Zitat

function passwort_neu()
{
var passwort = document.login.passwort.value;
var sitzungs_id = "<?php echo session_id(); ?>";
passwort = passwort + sitzungs_id;
passwort = hex_md5(passwort);
document.login.passwort.value = passwort;
}

Wenn das Script abgeschickt wird nutze ich javascript um das eingegebene Passwort mit der SessionID zu einem String zu verbinden. Dann wird vom String mithilfe von MD5 eine HashSumme erzeugt die dann mit dem Usernamen zum Server geschickt wird. Auf dem Server wird das gleiche gemacht, d.h der nimmt das Passwort vom Usernamen und verbindet das mit der SessionID und berechnent davon wieder den MD5 Hash. Wenn beides gleich ist darf man rein.

Jetzt wollte ich fragen ob das halbwegs sicher ist, gegenüber den meisten Scriptkiddies und wenn nein was könnte man dann noch einbauen.

mfg
tischler
__________
#protecus @ irc.freenode.net

#2

Zitat

Wenn das Script abgeschickt wird nutze ich javascript um das eingegebene Passwort mit der SessionID zu einem String zu verbinden. Dann wird vom String mithilfe von MD5 eine HashSumme erzeugt die dann mit dem Usernamen zum Server geschickt wird.

Naja ich verstehs scho, ist ne interessante Idee aber naja javascript - javascript kann man auch abschalten was dann.
Also dreht sich die ganze Idee bei dir darum das du dass passwort nicht übers net sendest - dass ist es doch, na gut ja das würd ich schon als sicher bezeichnen.
Allerdings könnte man auch sagen, warum nicht dann einfach die idee weglassen und statt dessen https benutzen?
Ich denke mal deine Idee ist gut, auch wenn ich eine generelle Abneigung gegenüber javascript habe.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Danke dabei muss ich sagen das die nicht von mir ist, sondern von einem Menschen (weis Namen nicht mehr) der die Idee auf der Website von O'Reilly vorgestellt hat, ich habe das dann halt nur umgesetzt.

Ich würde mich freuen wenn du mir kurz das mit dem Https näher erläutern könntest. Ich habe jetzt einen Artikel vom CCC und einen auf Wikipedia gelesen, aber wie du dir das jetzt genau mit dem Login Script vorstellst weis ich nicht.
__________
#protecus @ irc.freenode.net

#4 Hat gar nichts mit auch nur irgendeinem script zu tuen, https ist einfach http bloß secure - verschlüßelte Verbindung das ist transparent.
Ein Protokoll halt, dann wäre die Sicherheit wesentlich höher.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Also mit einem SSL Zertifikat?
__________
#protecus @ irc.freenode.net

#6 Joa, dass geht halt per webserver einstellung.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 ... und lässt sich meistens nur bei kostenpflichtigen hostern als zusatz erwerben..

die idee ist gut. es gibt praktisch keinen weg an das so übermittelte passwort zu kommen. ich weiss nicht wie dein code aussieht, aber hast du mal überlegt was passiert wenn jemand anderer den hash an den server schickt? stellst du sicher, dass der login nur mit einer gültigen session funktioniert? kann jemand, der eine andere session hat deinen hash nochmals schicken und ist dann auch eingeloggt?

wenn nicht ist das ganze praktisch unknackbar.
__________
greez
honk

#8 Jo, also erstmal Danke für die Antworten.

@Mr honk
Den Code kann ich leider nicht posten, denn der ist weg
Dumme Geschichte aber kann man erstmal nix machen ...

Naja die Session wird in einer DB gespeichert, dann kann man ja noch die IP vom Client speichern ...
Da sollte das eigentlich nicht das Ding sein, wenn jemand irgendwie an eine Session rankommt, denn dann bräuchte er auch noch die passende IP.

Er könnte versuchen das Formular nachzubauen ohne das JS, so könnte er das verschlüsselte PW nutzen aber das wird wie oben geschilder ja verhindert.

mfg
tischler
__________
#protecus @ irc.freenode.net

#9 dein login ist schon sicher genug so. aber wenn du den code hast zeig ihn mir.. ich werd mir das ganze noch anschauen wenn du willst.
__________
greez
honk