Sinn von Hashwert?

campari hat gesagt.:
Aber da es eh nicht möglich ist ausserhalb von internen Netwerten den Netzwerkverkehr abzuhören, ...
Wer hat Dir denn den Kaese erzaehlt?
Es ist kein wirklich grosses Problem auch im Internet den Verkehr abzuhoeren.
Warum meinst Du denn gibt es denn solche Sachen wie SSL/TLS und IPSec?
 
Den Kaese hab ich in meinem Buch "Linux-Sicherheiit" von Tobias Klein gelesen.
Da steht, dass es nicht möglich ist, den Netzwerkverkehr mitzulesen, ausser man sitzt an nem Backbone. "Sniffer funktionieren nur in einem lokalen Netzwerk."

Darauf gründet sich ja meine Eingangsfrage!
Also Deiner Meinung nach ist es doch möglich von jedem beliebigen Punkt einen anderen Server zu sniffen? Dat glaub ich nicht, weil man kann ja nur den Netzwerkverkehr protokollieren, der auch an der eigenen Netzwerkkarte vorbeikommt. Und das ist ja nur im internen Netzwerk gegeben :confused:

Grüsse
campari
 
Das mit dem Sniffer ist so schon richtig.

Aber waere es nicht moeglich fremden Verkehr abzuhoeren waere z.B. auch die gute, alte Man-in-the-middle-Attacke nicht moeglich.

Es gibt auch andere Wege als nur Sniffer.
 
Im Grunde koennen dazu die gaengigen Programme wie TCPDump und Ethereal genutzt werden.
Es sagt auch keiner, dass sowas einfach waere. Man muss schon auf der Leitung sitzen.
Damit meine ich jetzt, dass z.B. ein Router auf der Strecke uebernommen werden muss.

Ob es noch andere Wege gibt weiss ich jetzt nicht, vielleicht ueber irgendwelche gefaelschten Pakete.
Ich hab mich selbst nie aktiv mit dem Hacken auseinandergesetzt. Ich bin eher einer der Sorte die dafuer sorgen, dass sowas nicht passiert.
 
Datic hat gesagt.:
Ich mag mich täuschen, aber wenn PHP auf dem Server aus irgendwelchen Gründen mal ausfällt, sieht der Benutzer die Passwörter für die dB so oder so im Klartext ...
.

Das kann schon passieren.

Um das von dir befürchtete Sicherheitsproblem auszuschliessen, solltest du deine Passwörter und alles was sonst noch Details für potentielle Angreifer offenbart, am Besten auslagern in geschütze Verzeichnisse, optimalerweise ausserhalb der DOCUMENT_ROOT.

Mit PHP kannst du sie dann problemlos includen.
Fällt PHP aus...dann kann auch nicht includet werden :-)
 
Jo.


Letzte Frage zu Sicherheit:

Kann man POST abgefragte Variablen mit einem Wert füllen über einen anderen Weg als die eigentlich vorgesehen <input type='text' - Felder?

Meine Passwort-Felder haben eine maxlenght='25'. Der Sha1-Wert hat 40 Zeichen.
Wenn man nun wie auch immer den Sha1-Wert snifft, bringt der einem nix, da das PW-Feld nicht 40 Zeichen aufnimmt. Deswegen mein Frage, ob man die 40 Zeichen irgendwie anders einspeisen kann? Ka, obs ne hohle Frage ist :confused:

Danke
campari
 
Sicherlich kann ich einen Server dazu verleiten zu glauben, dass ich grade ein Formular als Post abgeschickt habe.

Mit ein paar Zeilen Perl kein Problem:
Code:
use HTTP::Request::Common qw(POST);
use LWP::UserAgent;
$ua = LWP::UserAgent->new;

my $req = POST 'http://www.deineDomain.de/deinScript.php',
                [ msg => 'a' x 4096 ];

print $ua->request($req)->as_string;

Und schwupps sind 4MB Daten zu dir auf dem Weg ;)

Wer mag kann das gerne auch über Telnet/SSH oder sonstwas schicken. Man muss sich halt einfach nur an die HTTP-Spezifkationen halten. Und die sind ja öffentlich einsehbar in vielen RFCs ;)
 
Man kann sich daheim auch einfach sein eigenes Formular basteln, und dir irgendwas schicken.

Kurz und Knapp kann man es so sagen: Traue Nichts und Niemandem, wenn es von ausserhalb kommt.
 
Zurück