Sicherheit beim Login

  • Hi,

    was muss ich tun, damit man nicht über eine Datei von aussen auf meine Login_Datei zugreifen kann?

    Man könnt ja z.B. mein Loginformular kopieren und damit dann haufenweise Loginversuche automatisch generieren lassen.
    Wie kann ich es einstellen, daß nur eine Datei die auf meinm Server liegt auf die Login_Datei zugreifen kann? .htaccess oder CHMOD?

    Gruß

    Matthias

  • Zitat von MAD

    Man könnt ja z.B. mein Loginformular kopieren und damit dann haufenweise Loginversuche automatisch generieren lassen.

    Auch wenn deine Frage damit nicht beantwortet ist, aber glaubst du, dass sich irgendjemand das bei DEINER Seite antut? Will jetzt nicht deine Seite schlechtreden, aber sie ist sicher nicht profitabel für einen "Hacker", oder?

    LG

  • @ Rocco teilweise lohnt es sich, auch nur um es jemanden zu beweisen das es geht..

    und beides sit möglich, wobei sich htacces durch wohl leichter aushebeln läst.

    Aber ich jetzt auch nicht wüste wie.

  • man kann doch mit htacces es so einstellen, dass nur die eigene seite als referrer zugelassen wird (zumindest geht das so bei bild-diebstahl etc)
    ich denke so könntest du das lösen, ich hab das hier im forum gesehn, weiss aber nimmer wo, musst ma suche benutzen : )

    Sei immer du selbst. Außer du kannst Batman sein. Sei immer Batman!

  • Moin!

    Also mal zum allgemeinen Verständnis:

    Um mit einen PHP-Script ein htaccess passieren zu können, muß sich das Script innerhalb der gleichen Domain befinden.
    Das heißt man muß erstmal den htaccess-Schutz knacken, was bei richtiger Wahl eines sicheren Passwortes nahezu unmöglich ist. Ein sicheres Paßwort sollte aus mindestens 8 Zeichen bestehen und darf auch Sonderzeichen enthalten.
    Benutzt du nur normale Buchstaben (Groß- und Kleinschrift gemixt, sowie Ziffern), dann ergeben sich 191707312997281 Kombinationen. Ein durchschnittlicher moderner Rechner benötig zu testen aller Kombinationen ~ 6 Jahre.
    Man darf dabei aber nicht vergessen, daß das Paßwort u.U. gleich am Anfang 'erraten' wird, z.B. wenn du "aaaaaaaa" als PW benutzt. Bei "Z8Hp695b" dagegen wird der PC sicherlich schon ein paar Monate bis Jahre brauchen.

    Wenn du auf 10 Zeichen erhöhst, dann gibt es bei gleicher Voraussetzung (ohne Sonderzeichen) schon 713342911662882601 verschiedene Kombinationen. Hier bräuchte der gleiche PC dann schon ~ 22600 Jahre um alle Kombinationen zu testen - allerdings glaube ich daß da vorher die CPU abraucht...

    Nun kannst du das ganze noch steigern, indem du Sonderzeichen verwwendest und zusätzlich die IP des Rechners loggst. Bei x (z.B. 5) Fehlversuchen wird per PHP-Script die IP geblockt. Das kann auf verschiedene Weise erfolgen, z.B. indem das Script die htaccess-Datei umschreibt und dort für die IP eine Sperre setzt. Ich habe es noch nicht ausprobiert, da es sich bei der htaccess aber um eine einfache Textdatei handelt, dürfte das kein Problem sein.

    Ohne htaccess machst du die IP-Sperre eben ganz einfach per PHP-Script.

    G.a.d.M.

    Ronald

  • man sagt ein 30min block bei 3 feheingaben für ein 4 Zeichen Passwort.

    für ein 5 ezichen PW reichen dann schon 5 Fehleringaben.

    Da kann mann dann vareiren.

    Aber ein Hacker der da wirklich rauf will, wird sicherlich nicht versuchen dein PW zu eraten.

    Und mit eienr stabielen apache Version ist es so gut wie ummöglich htaccess zu knacken. Wenn mann keien php oder perl scripte mit löchern findet.

  • Hi,

    werde es mal mit .htaccess probieren.

    Ist wirklich nicht so, daß da hochsensible Daten drauf sind, aber es sind auf alle Fälle Adressen und sonstige pers. Daten, die nicht jeder sehen muss.

    Danke.

    Gruß

    Matthias

  • also von einem anderen server (vorausgesetzt, es gibt keine php scripte mit löchern) ist es also so gut wie unmöglich das pw herauszufinden ?
    gefällt mir^^

    Sei immer du selbst. Außer du kannst Batman sein. Sei immer Batman!

  • Wie kann man denn nun prüfen, ob jemand versucht sich anzumelden, um diese Sperre zu erstellen? Wohl kaum mit PHP. Oder? Das Script wird ja nihct ausgeführt, solange das PW nicht stimmt...

  • Kannst du bei deinem Provider eigene Fehlerseiten für HTTP Status Codes definieren?

    Wenn ich mich recht erinnere ist ein Fehlgeschlagener htacces login 403...

    Natürlich lassen sich als Fehlerseiten auch php Scripte benutzen die dann die fehlgeschlagenen Logins auswerten können.

    Ansonsten zeichnet aber auch apache alles in seiner Logdatei mit.