[Metalab] Jublogin

Johannes Buchner buchner.johannes at gmx.at
Sat Jun 2 21:06:34 CEST 2007


Danke für die ersten Postings!

Klar, HTTPS verwenden, bin ich voll dafür. Möchte ich auch nicht ersetzen.
True, ich kann als MITM-Attacker die Session steuern. 
Aber mein Passwort weiß der Angreifer nicht. Und wenn die Session beendet ist, 
kann er keine neue beginnen (er kann sie aufrechterhalten versuchen). 
Und ich kann auf jedem Account das gleiche Passwort verwenden, ohne dass 
irgendwer davon was weiß.
Du hast recht Paul, die Daten schütze ich nicht damit, dass ist auch nicht das 
Ziel. Aber das Passwort.

Richtig, ich könnte digest-auth verwenden.
Aber das is sooo hässlich ;-) Und was ist, wenn ich 3 Login-Felder hab: 
Kategorie, Name, Password?

Idealerweise nimmt man HTTPS und wrappt es drüber. Manchmal hat man dazu aber 
nicht die Möglichkeit.
Jublogin soll jetzt auch nicht _die_ Erleuchtung in Web-Security sein, sondern 
nur einen Schliff Formular-Logins für den User (bzw. sein Passwort) 
verbessern. 

Und wenns das nicht ist, dann hab ich zumindest ein schönes Dokuwiki-Template 
für die Webseite geschrieben ;-)

lg,
Johannes

On Saturday, 2. June 2007 16:42:52 Paul Böhm wrote:
> wenn jemand das passwort mitlesen könnte wenns plaintext ist, aber das
> passwort irgendwie gesichert wird, bringt das nur der sicherheit des
> passworts was. dein verfahren scheint allerdings weit weit von zero
> knowledge proofs oder so entfernt zu sein, und daher ist selbst der
> nutzen für die passwort sicherheit sehr fraglich.
>
> replay attacken auf die authentifikation sind in dem fall übrigens
> uninteressant die tcp verbindung ist immer noch MITM hijackbar (z.B. bei
> connection basierter authentifikation), und die session id ist sowieso
> ungeschützt (bei normalem stateless http)
>
> authentifizierung bringt dir nichts ohne integrität der daten die du
> im nachhinein überträgst.
>
> https versucht dir integrity und confidentiality im bündel-paket zu
> geben - viel besseres ist bisher leider niemandem eingefallen.
> integrity ohne confidentiality wäre auch nicht billiger.
>
> zu dem thema vielleicht auch mal NTLM und digest authentication, und
> deren probleme ansehen:
> http://www.innovation.ch/personal/ronald/ntlm.html
> http://www.ietf.org/rfc/rfc2617.txt
>
> lg
> paul
>
> On 6/2/07, Florian Hufsky <florian.hufsky at gmail.com> wrote:
> > Also das is verschlüsselung nur für passwörter wennst kein HTTPS
> > verfügbar hast? wtf? srsly?
> >
> > Wir ham eh grad drüber gredet, also... äh... ich seh irgendwie keinen
> > use case. Wennst sicherheit willst, willst eh HTTPS. User die auf
> > Phishing reinfallen, sind so auch nicht geschützt. Der einzige Schutz
> > wäre gegen man-in-the-middle zeugs, aber... ja... äh... dann gleich
> > richtig (tunneln/https).
> >
> > Und Banken... verwenden sowieso HTTPS.
> >
> > ;)
> >
> > On 6/2/07, Johannes Buchner <buchner.johannes at gmx.at> wrote:
> > > Hallo liebe Labber!
> > >
> > > Ich möchte kurz jublogin vorstellen, und euch fragen, was ihr davon
> > > haltet:
> > >
> > >       http://jublogin.sourceforge.net/
> > >
> > > Es implementiert eine CHAP-ähnliche Authentifizierung für Web-Logins,
> > > um Abhören und Replay-Attacken unmöglich zu machen.
> > >
> > > Genauere technische Details: http://jublogin.sourceforge.net/types
> > > Demos: http://jublogin.sourceforge.net/demos
> > >
> > > 1) Seht ihr irgendwelche groben Probleme, Fehler, die ich gemacht habe?
> > > 2) Haltet ihr das für sinnvoll, wert, in andere Anwendungen einzubauen
> > > (z.B. diverse CMS, online-banking)
> > > 3) Sonstige Kommentare, Bashing, Troll-posts, flames :-)
> > >
> > > Liebe Grüße,
> > > Johannes Buchner
> > >
> > > _______________________________________________
> > > Metalab mailing list
> > > Metalab at lists.metalab.at
> > > http://lists.metalab.at/mailman/listinfo/metalab
> >
> > _______________________________________________
> > Metalab mailing list
> > Metalab at lists.metalab.at
> > http://lists.metalab.at/mailman/listinfo/metalab
>
> _______________________________________________
> Metalab mailing list
> Metalab at lists.metalab.at
> http://lists.metalab.at/mailman/listinfo/metalab


-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lists.metalab.at/pipermail/metalab/attachments/20070602/96ea34d6/attachment.sig>


More information about the Metalab mailing list