|
|
Latest News |
Latest Threads |
|
|
54.743 Posts & 4.945 Themen in 78 Foren |
|
|
|
|
Forensuche |
|
Suchbegriff |
Benutzerauswahl |
Ergebnisse anzeigen |
|
|
Login per Link 9 Beiträge in diesem Thema |
|
|
|
|
|
07.05.2009 - 16:43 Uhr |
|
|
|
MD5 als $_GET übergabe?
da kannste deine seite auch gleich selber hacken und lahm legen...
und überhaupt, den sinn dahinter verstehe ich nicht, somit kann sich jeder mit jedem account einloggen...
|
|
|
|
|
|
|
|
|
|
07.05.2009 - 17:39 Uhr |
|
|
|
Äh, Bullet ... Ob es nun über GET oder POST gemacht wird, man braucht trotzdem das nötige Passwort (egal ob MD5 oder ohne).
In alten Kit-Versionen würde das sogar ohne Probleme gehen ;o
Zumal dies ja bei der Registrierung per e-Mail in der e-Mail ein Link drin ist, der das einloggen per URL zuläst.
|
|
|
|
|
|
|
|
|
|
07.05.2009 - 17:57 Uhr |
|
|
|
is ja richtig, nur würdest du für jeden sichtbar die die MD5 dran hängen?
das wäre dann nur eine frage der zeit bis die seite gehackt wird.
gibt genügend seiten auf denen man das MD5 Passort entschlüsseln kann
|
|
|
|
|
|
|
|
|
|
07.05.2009 - 19:45 Uhr |
|
|
|
Es geht nicht generell um alle Accounts, sondern speziell um einen den ich für Google erstellen würde.
Es gibt dort (beim AdSense glaube ich) eine Option um dem Crawler Inhalte zugänglich zu machen, die nur mit Login abrufbar sind.
Das wollte ich mal antesten...
|
|
|
|
|
|
|
|
|
|
07.05.2009 - 19:54 Uhr |
|
|
|
Ob das Passwort sichtbar oder nicht sichtbar ist, ob MD5 oder nicht, spielt doch gar keine große Rolle, wenn man den User-Namen nicht kennt.
Sprich, es entspräche den selben Prinzip wie das Login per Formular.
Ob es für die aktuelle Version gehen würde, weiss ich nicht. Allerdings besteht die Chance per GET dies zu testen, da selbst noch in der angeblich sicheren Seite das Login per REQUEST gemacht wird ..
|
|
|
|
|
|
|
|
|
|
08.05.2009 - 00:56 Uhr |
|
|
|
Bin da grad auf etwas gestossen:
Wenn man eingeloggt ist sind ja die Daten, die auch im Cookie gespeichert sind global verfügbar. Zum einen im _REQUEST und zum anderen in der DB als Session. Somit kann ich die Sache wohl haken ohne die login.php zu modden, es sein denn ich bekomme per $_POST eine Session gestartet....
Erstmal danke für die Aufmerksamkeit
|
|
|
|
|
|
|
|
|
|
08.05.2009 - 09:52 Uhr |
|
|
|
Die DB-Eintragung erfolgt ja nur, weil man auf der Internetseite drauf ist. Und wenn du sogar eingelogt bist, wird dies auch so gespeichert.
Der DB-Eintrag hat mit deinen Vorhaben (den puren Einloggen) ja nichts mit zu tun.
Genauso wenig die Cookies eine Wirkung hätten, da diese im Grunde nur für das Zeitlimit und das eingelogt sein, wenn man zu einen späteren Zeitpunkt die Seite wieder betritt.
Und selbst wenn die Cookies wichtig wären, dann ist das CMS wieder mal scheise gemacht. Wozu wäre ja dann das "Immer eingelogt"-Häckchen beim einloggen, wenn Cookies sowieso wichtig sind ..
Egal, wenn man sich einlogt (per Formular, POST), werden einige Sachen geprüft. Da allerdings, soweit ich es noch weiss, der ganze Prüfungskram per REQUEST (also GET oder POST) gemacht wird, wäre theoretisch das einloggen per URL (also GET) möglich.
Wie schon erwähnt, erhalten neue User per e-Mail-Registrierung einen Link für das einloggen. Darauf müsste man aufbauen und ggf. ein bissin abändern.
|
|
|
|
|
|
|
|
|
|
08.05.2009 - 20:23 Uhr |
|
|
|
Zitat Genauso wenig die Cookies eine Wirkung hätten, da diese im Grunde nur für das Zeitlimit und das eingelogt sein, wenn man zu einen späteren Zeitpunkt die Seite wieder betritt. |
Der Aufbau des Strings vom Cookie einlesen wäre interessant, da könnte was gehen. Allerdings ist da auch ne Session ID drin, die evtl. Einfluss haben könnte......
Die Sache mit dem Registrierungslink hatte ich auch schon im Kopf. Die Art von Loginlink wird aber nur verarbeitet, wenn die UID gesetzt ist. Diese wiederum ist nur dazu da um den User zu authentifizieren und wird beim Firstlog gelöscht...
Ist auch nicht so wichtig, ich könnte ja auch ein Script schreiben (auf das nur bedingt zugegriffen werden darf) und dann eine Session in die DB packen oder so ähnlich. Aber ich will nix modden
|
|
|
|
|
|
|
|
Ähnliche Themen |
|
|
|
|
|
|
|
|