PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherer PW-Schutz?

ePic
11.07.2004, 22:29
Hi,

Da mir in diesem Forum ja schonmal geholfen wurde, und ich eigentlich keine Möglichkeit sehe, ohne Serverberechtigung hier an das PW zu kommen, dacht ich mir, ich frag trotzdem einfach mal ob dieser Schutz (ich hab ihn nicht selber geschrieben) auch wirklich sicher wäre, da ich ihn evt. auf meiner Page verwenden möchte.


<html>

<head>
<script language="javascript">
var i=0
var locat=""
function srch(numb){
i++
locat=locat+numb
if (numb!="//") {
if (i<6){
document.TheForm.astrx.value+="*"
}else
{
document.TheForm.astrx.value+="*"
location.href=locat+".htm"
} }
else
{
document.TheForm.astrx.value=""
locat=""
i=0
}
}
</script>
<base target="_blank">
</head>

<body bgcolor="#CCCCCC" text="black" link="blue" vlink="purple" alink="red">
<p>&nbsp;</p>
<p align="center">
<font face="Comic Sans MS"><b>Gib hier den 6-stelligen Code ein

</b></font><form name="TheForm">
<div align="center">
<center>
<table border=1 cellpadding=3 cellspacing=3 bordercolor="#00FF00" width="120" bgcolor="#404040">
<tr>
<td colspan=3 align="center" bordercolor="#CCFFCC"><input type=text size=8 name="astrx" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>
</tr>

<tr>
<td align="center" bordercolor="#CCFFCC"><input type=button value=" 1 " onclick="srch(1)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>

<td align="center" bordercolor="#CCFFCC"><input type=button value=" 2 " onclick="srch(2)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>

<td align="center" bordercolor="#CCFFCC"><input type=button value=" 3 " onclick="srch(3)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>
</tr>

<tr>
<td align="center" bordercolor="#CCFFCC"><input type=button value=" 4 " onclick="srch(4)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>

<td align="center" bordercolor="#CCFFCC"><input type=button value=" 5 " onclick="srch(5)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>

<td align="center" bordercolor="#CCFFCC"><input type=button value=" 6 " onclick="srch(6)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>
</tr>

<tr>
<td align="center" bordercolor="#CCFFCC"><input type=button value=" 7 " onclick="srch(7)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>

<td align="center" bordercolor="#CCFFCC"><input type=button value=" 8 " onclick="srch(8)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>

<td align="center" bordercolor="#CCFFCC"><input type=button value=" 9 " onclick="srch(9)" onFocus="this.blur()" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>
</tr>

<tr>
<td align="center" bordercolor="#CCFFCC">

</td>
<td align="center" bordercolor="#CCFFCC"><input type=button value=" 0 " onclick="javascript:srch(0)" style="background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>

<td align="center" bordercolor="#CCFFCC">

</td>
</tr>
<tr>
<td align="center" bordercolor="#CCFFCC" colspan="3">
<input type=button value="Löschen" onclick="srch('//')" onFocus="this.blur()" style="font-size: 8 pt; background-color: #CCFFCC; border-style: solid; border-color: #00FF00"></td>
</tr>


</table>
</center>
</div>
</form>
</body>

</html>

Jan Krüger
12.07.2004, 16:02
Wenn der Verzeichnisinhalt nicht abrufbar ist, ist das sicher, ja.
CerealKiller
12.07.2004, 18:24
unter "sicher" versteh ich aber was anderes ;)
mit FlashGet z.B. kann man sich immer den Verzeichnisinhalt anzeigen lassen auch wenns aufm server deaktiviert ist!

ich würde nie einen javascript pw-schutz nehmen!
Pharao
12.07.2004, 18:34
siehe CerealKiller

sicher gibt es im Prinzip nicht.
Am sicherstens dürfte htaccess in kombination mit php und mysql sein.
SkydiverBS
17.07.2004, 20:11
@CerealKiller:
Echt? Wie macht FlashGet das?
Ich nehme mal an per FTP oder?

Dann trifft der Kommentar von Jan wieder zu:
Solange der FTP-Server so eingerichtet ist das keine anonymen Logins erlaubt werden und vorrausgesetzt die Passwörter für die existierenden Benutzer sind sicher, dann kann man auch mit FTP nicht den Verzeichnisinhalt auslesen.

Wenn FlashGet allerdings einen anderen Weg geht um an die Verzeichniseinträge zu kommen lass ich mich gerne belehren :-) ! Ich wüsste aber nicht welches Protokoll das unterstützen sollte.

@ePic:
Eine relativ sichere Methode ohne grossen Aufwand treiben zu müssen ist htaccess (wie von Pharao erwähnt) -> HTACCESS-Anleitung von SelfHTML.ORG (http://de.selfhtml.org/diverses/htaccess.htm) !

Gruss,
Philip
z3r0x
17.07.2004, 21:37
mit FlashGet z.B. kann man sich immer den Verzeichnisinhalt anzeigen lassen auch wenns aufm server deaktiviert ist!

Das geht nur mit Dateien welche untereinander verlinkt sind.
Ein File welches nirgends in dem Quelltext auftaucht, kann auch nicht angezeigt werden (solange kein indexlisting moeglich ist).

Gruß z3r0x
Pharao
17.07.2004, 22:35
doch per brute force *scnr*
z3r0x
18.07.2004, 17:37
doch per brute force *scnr*

lol, das waere natuerlich auch 'ne Moeglichkeit. :p
Jan Krüger
18.07.2004, 19:54
Jaja, und

59241765424996638442202909539127847060062178160463182693033582454889513722549561
30709445607824001436111159678089019081193374400279017398835907161859262838047451
51496845140566653708359410327984517296994300310343908386693929267236696352859510
45525175737720703007628455077846683752547266834976439283989103657375106381055012
35260432427410799258365613055789414119535782918481154170857081382383778269960793
40153259413024023674501631814731696238226103480772472986963927260108287123705870
97139932396950483312157755769017322618521743419431688050383500502013197731914625
279991346268088857931153407086566696754910435321

Jahre später... :p

(Die Zahl wurde auf Grund der Annahme berechnet, dass der Webserver Dateinamen mit bis zu 255 Zeichen mit jeweils 256 verschiedenen gültigen Werten zulässt und dass das Bruteforce-Programm 10 Namen pro Sekunde prüfen kann. Die Zeilenumbrüche wurden zwecks besserer Darstellung eingefügt.)
z3r0x
18.07.2004, 20:54
Das ist doch noch human. :p
Pharao
18.07.2004, 21:32
@Jan.. zu viel Zeit?

Das ist doch okay...
So nun rechne mal, dass jemand zu viel Zeit hat, PhaBot modifiziert, dass der anfängt zu raten und rechne mal mit 10000 infizierten Rechner... was bei der heutigen Lage kein Problem sein sollte wenn ich mir ansehe wieviele Leute gerannt kommen und wegen Viren heulen.
Das nur mal als Gedankenspiel was durch die heutige Technik leider! machbar wäre.
z3r0x
19.07.2004, 00:50
Luschtig, luschtig...

Der Aufwand waere es "garantiert" Wert.
Einfach ein Botnet auf einen Server ansetzen um ein Indexlisting zu erhalten.

Das wuerde den Server bzw. den Traffic auch ueberhaupt nicht auslasten.
Und bemerken tut das eh keiner, denn die sind ja alle doof!


Da hat wohl jemand die Ironie der letzten Posts nicht so ganz mitbekommen. ;)

Abgesehen davon wuerde es nach der obigen Rechnung bei 10.000 Computern immer noch einige mio. Jahre dauern. :p
Jan Krüger
19.07.2004, 15:03
Wenn man davon absieht, dass der Webserver wohl kaum 100000 Anfragen pro Sekunde beantworten kann, ist der Synchronisationsaufwand, den Angriff dynamisch auf 10000 Rechner aufzuteilen, recht hoch. Die einfachste Methode ist die von Distributed.Net, und dafür brauchst du einen zentralen Server, der die Verteilung verwaltet, der dann in etwa ebensoviele Anfragen verwalten muss. Und wenn jemand einen der gekaperten Rechner zurückkapert (ist schon vorgekommen) und dir falsche Werte zurückliefert, wirst du nach

59241765424996638442202909539127847060062178160463182693033582454889513722549561
30709445607824001436111159678089019081193374400279017398835907161859262838047451
51496845140566653708359410327984517296994300310343908386693929267236696352859510
45525175737720703007628455077846683752547266834976439283989103657375106381055012
35260432427410799258365613055789414119535782918481154170857081382383778269960793
40153259413024023674501631814731696238226103480772472986963927260108287123705870
97139932396950483312157755769017322618521743419431688050383500502013197731914625
27999134626808885793115340708656669675491043

Jahren (Zahl angepasst auf die Verteilung über 10000 infizierte Rechner unter Vernachlässigung sämtlichen Synchronistationsaufwands) feststellen, dass sich der ganze Aufwand nicht gelohnt hat und du noch einmal von vorne anfangen musst.

Übrigens: das Berechnen der Dauer hat nicht viel Zeit in Anspruch genommen, keine Sorge; ich habe etwa 20 Sekunden gebraucht.

Und damit ich es auch noch einmal gesagt habe, CerealKiller hat nicht Recht. ;)
DaRoot
19.07.2004, 15:21
Übrigens: das Berechnen der Dauer hat nicht viel Zeit in Anspruch genommen, keine Sorge; ich habe etwa 20 Sekunden gebraucht.
:D ja, das ist mein jast ;)
Ich weiss nicht ob sich das überhaupt lohnen würde dieses script zu knacken... ich mein wer will schon nach jahrtausenden langem brüten sowas wie "42" hören/lesen??
Pharao
19.07.2004, 17:17
wer will überhaupt daten, die so gesichert werden?
Jan Krüger
19.07.2004, 17:43
Daten, die sicher gesichert werden? Viele Leute. Stichwort Militärgeheimnisse. ;)
Scavi
19.07.2004, 17:51
Ich glaube nicht, dass Militärserver ans Internet gekoppelt sind, zumindest nicht die deutschen.
DaRoot
19.07.2004, 21:42
Ich glaube nicht, dass Militärserver ans Internet gekoppelt sind, zumindest nicht die deutschen. geschweigedenn das sie ihre daten per javascript sichern ;)
CerealKiller
19.07.2004, 23:38
Und damit ich es auch noch einmal gesagt habe, CerealKiller hat nicht Recht. ;)

da hab ich mich wohl geirrt :D :D
z3r0x
21.07.2004, 08:10
59241765424996638442202909539127847060062178160463182693033582454889513722549561
30709445607824001436111159678089019081193374400279017398835907161859262838047451
51496845140566653708359410327984517296994300310343908386693929267236696352859510
45525175737720703007628455077846683752547266834976439283989103657375106381055012
35260432427410799258365613055789414119535782918481154170857081382383778269960793
40153259413024023674501631814731696238226103480772472986963927260108287123705870
97139932396950483312157755769017322618521743419431688050383500502013197731914625
279991346268088857931153407086566696754910435321

(Die Zahl wurde auf Grund der Annahme berechnet, dass der Webserver Dateinamen mit bis zu 255 Zeichen mit jeweils 256 verschiedenen gültigen Werten zulässt und dass das Bruteforce-Programm 10 Namen pro Sekunde prüfen kann.
Hmmm, was mich jetzt mal interessieren wuerde:
Wie hast du das errechnet?

Denn ich komme bei: (256^255)/10/3600/24/365.2422 auf:

400033592137687138976298819105758097480338541432410990711136975944230446846
496839788368791634097527149051313856140845447798775361366265115412939786749
862063687935617574636458328324005005431690456246428390840797439866549904700
773132169342318938792345457462104336611028287390130129975854463430842371443
844597822684587672589822097148578674294786031586564587197732344424936957490
319238556910490280071120208714137884488152355686065298532901936810900924342
957429434547279520577772008525883136000705873648522053488319213663494783498
972627133336209055109531152216686268562700058944217502743876410519921213687
341400.9... Jahre.

Liegt es an meinem Programm, oder haben wir einfach nur total unterschiedlich gerechnet?

Gruß z3r0x