✔ md5 und trotzdem reinkommen

[Dario Linsky]

Hi,

wenn die Daten und Einstellungen doch sowieso in der Datenbank liegen, dann schau doch einfach mal da rein. Wenn du dein Programm kennst, solltest du nachvollziehen können, welche Werte bei bestimmten Einstellungen was für Effekte nach sich ziehen.

Wenn das Programm erstmal stabil läuft, dann geht da auch i.d.R. nichts mehr schief. Zumindest nicht nur bei einem einzelnen Benutzer und sonst nirgendwo. Es sei denn natürlich, die Benutzer haben die Möglichkeit, Einstellungen vorzunehmen, mit denen das Programm nicht umgehen kann - was aber wieder gegen die Stabilität sprechen würde.

Grüße, D.

 

[Kipperlenny]

Jo das was du beschreibst (In der Datenbank schauen) ist die komplizierte Art und Weise.

In der Datenbank nach dem Passwort schauen, sich eben einloggen und das ganze Problem "live" anschauen" ist die einfache Art und Weise.

Nur da ich in Zukunft die Passwörter als md5 Hash speichern möchte, muss ich auch wissen wie ich trotzdem in die Accounts (welche ALLE mit gehören, das lege ich einfach so fest in den Spielregeln, dass alles jederzeit mir gehört - dafür muss der User auch nichts von sich angeben außer dem gewünschten Nick und seiner Email Adresse, kein Name und gar nichts) reinkomme.

Und eigentlich geht es darum in diesem Thread wie das denn möglich ist und nicht darum das es am besten nicht gemacht werden sollte.

ps: und wer sich die Tan Liste vom Sparkassen Account per PN in meinem Spiel von nem anderen Spieler schicken lässt ist selber schuld - nicht weil ich die Daten missbrauchen werde, sondern weil solche Sachen eben nicht verschlüsselt sind in der Datenbank...

 

[crazymischl]

Hi,
möglichkeit 1: schreib dir ein Admin-Script, welches genau das anzeigt wie der user es sieht, wo du aber kein Passwort eingeben musst (natürlich das script entsprechend per htaccess und vllt einem eigenen log-in schützen)

möglichkeit 2: die daten als Sicherung in Klartext in eine weitere DB speichern auf die aber im "normalen" Betrieb nicht zugegriffen wird (also bei log-ins usw.)

Möglichkeit 1) würde ich besser finden, du kannst das doch einfach machen (Passwortabfrage rausnehmen) und fertig- du musst dass aber natürlich entsprechend schützen.

 

[Kipperlenny]

Jo die 1. Lösung hat zwar erst mal mit mehr Arbeit zu tun (Bisher habe ich immer auf nen Adminpanel verzichtet) würde aber später viel Arbeit erleichtern.

Möglichkeit 2 scheidet für mich auch, da ich die Passwörter der User nie sehen möchte.

 

[procurve]

Warum programmierst du dir als Admin dann nicht die Möglichkeit, in einen Benutzeraccount reinzuschauen, ohne dass du das Passwort des users kennen musst?

Meiner Meinung nach gehen die Passwörter eines Benutzers keinen Admin bzw. Betreiber eines Spieles oder einer Webseite im Allgemeine überhaupt nichts an.

 

[Dario Linsky]

Hi,

Jo das was du beschreibst (In der Datenbank schauen) ist die komplizierte Art und Weise.

In der Datenbank nach dem Passwort schauen, sich eben einloggen und das ganze Problem "live" anschauen" ist die einfache Art und Weise.

wenn du dir das Problem "live anschaust", dann siehst du da zunächst mal die Symptome. Um die Ursachen dafür zu finden, wirst du früher oder später sowieso in die Datenbank schauen müssen.

Aber wenn du das unbedingt so machen willst, dann wäre es tatsächlich das eimit dem man sich in alle Accounts einloggennfachste, dass du ein Universalkennwort einrichtest, das für alle Accounts gültig ist. Das könnte man z.B. fest ins Skript verankern. Aber sicher ist das dann nicht unbedingt...

Grüße, D.

 

[WindowShopper]

Wie wäre es denn damit, dass du ein Generalpasswort festlegst (also einen Zufallswert, der nicht zu leicht zu erraten ist, zB. 2b32sz6).
Dann überprüfst du in deinem Login-Script zuerst, ob dass Passwort "2b32sz6" ist, wenn ja, dann kann man sich direkt einloggen, wenn nein, dann wird das Passwort mit dem aus der Datenbank verglichen.

 

[Kipperlenny]

Warum programmierst du dir als Admin dann nicht die Möglichkeit, in einen Benutzeraccount reinzuschauen, ohne dass du das Passwort des users kennen musst?

Meiner Meinung nach gehen die Passwörter eines Benutzers keinen Admin bzw. Betreiber eines Spieles oder einer Webseite im Allgemeine überhaupt nichts an.

Genau das habe ich ja in dem Post vor die geschrieben.

Wie wäre es denn damit, dass du ein Generalpasswort festlegst

Das ist ein Super Idee!!

 

[Gumbo]

Und wenn ich an die Daten ran möchte (welche auch immer das sein mögen) könnte ich ja auch einfach die Datenbank durchschauen, weil PNs und so verschlüsselt man ja nicht.

Das Ausspähen von nicht für jemanden bestimmte Daten ist nach § 202a StGB strafbar. Dazu gehören auch private Nachrichten.

 

[Kipperlenny]

Auch wenn man den Leuten vor der Anmeldung mitgeteilt hat (und sie zugestimmt haben) Dass ich jede Nachricht mitlesen darf, da sie beim Absenden sofort in mein Eigentum übergeht?