1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Re: Filterfunktion auch ohne Klartext möglich

  1. Beitrag
  1. Thema

Re: Filterfunktion auch ohne Klartext möglich

Autor: RFZ 11.09.18 - 00:03

seronulpha schrieb:
--------------------------------------------------------------------------------
> Warum habe ich von einer auf der Hand liegenden Lösung noch nicht gelesen?

Weiss ich auch nicht, denn in diesem Thread wird genau das diskutiert ;)

> Mit Login wird im Session-Cache das Klartext-Passwort gespeichert, solange
> die Session gültig ist. Serverseitig kann nun damit der Filter bedient
> werden. Mit Logout oder Zeitablauf oder sonstigen Gründen stirbt die
> Session und das Klartext-Passwort verschwindet vom Server, eh der Anwender
> sich wieder anmeldet.

Ja. Wäre auf jeden Fall besser als die Passwörter persistent in einer Datenbank zu speichern. Wie um 22:57 Uhr geschrieben, können so im Falle dass jemand den Server übernimmt nur die Passwörter von Nutzern abgegriffen werden, die zu diesem Zeitpunkt eine aktive Sitzung haben. Also nur ein Bruchteil aller Nutzer.

> Das wäre zumindest ein Kompromiss, vorausgesetzt die Session bleibt nicht
> zig Wochen gültig. Das ganze hat außerdem sicher den Anwendernachteil, dass
> dies nur bei regelmäßiger Authentifizierung funktioniert. Aber auch das ist
> ja nicht verkehrt für die Sicherheit.
>
> Wie gesagt: Ein Kompromiss.

Richtig, ein Kompromiss. Es ginge aber sogar noch besser... Statt das Passwort im Klartext in der Session abzulegen, könnte man es dort verschlüsselt ablegen und den Schlüssel am Client in einem Cookie ablegen. Eine Entschlüsselung ist dann bei jedem Web-Request möglich und somit der Filter umsetzbar.
Jemand der den Server übernimmt kommt aber trotzdem nur auf die verschlüsselten und damit wertlosen Passwörter der aktiven Nutzer. Um diese zu entschlüsseln muss er nun zusätzlich Web-Requests von Clients abfangen können.
Er muss also einerseits noch tiefer in den Server eindringen und kann andererseits selbst unter den Nutzern mit einer noch gültigen Session nur den Bruchteil angreifen, der auch während des Angriffs aktiv chattet.

Btw. wenn man solche Daten in der Session ablegt, muss man gut darauf achten wie die garbage collection arbeitet, die die abgelaufenen Sessions bereinigt. Denn vorzugsweise sorgt die dafür dass die Passwörter wirklich nicht mehr auf dem Datenträger wiederherstellbar sind. Genau das tut sie aber normal nicht, da sie nicht für ein sicheres Löschen gemacht ist...


Neues Thema Ansicht wechseln


Thema
 

Filterfunktion auch ohne Klartext möglich

das Keks | 10.09.18 - 15:56
 

Re: Filterfunktion auch ohne Klartext...

M.P. | 10.09.18 - 16:02
 

Re: Filterfunktion auch ohne Klartext...

theonlyone | 10.09.18 - 16:08
 

Re: Filterfunktion auch ohne Klartext...

PHPGangsta | 10.09.18 - 18:27
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 20:34
 

Re: Filterfunktion auch ohne Klartext...

starscream | 10.09.18 - 16:04
 

Re: Filterfunktion auch ohne Klartext...

Quantium40 | 10.09.18 - 16:50
 

Re: Filterfunktion auch ohne Klartext...

lear | 10.09.18 - 17:09
 

Re: Filterfunktion auch ohne Klartext...

Mephir | 10.09.18 - 17:13
 

Re: Filterfunktion auch ohne Klartext...

mambokurt | 10.09.18 - 17:14
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 17:20
 

Re: Filterfunktion auch ohne Klartext...

PineapplePizza | 10.09.18 - 17:12
 

Re: Filterfunktion auch ohne Klartext...

bastie | 10.09.18 - 17:13
 

Re: Filterfunktion auch ohne Klartext...

hyperlord | 10.09.18 - 17:20
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 17:24
 

Re: Filterfunktion auch ohne Klartext...

lear | 10.09.18 - 17:40
 

Re: Filterfunktion auch ohne Klartext...

Hotohori | 10.09.18 - 17:46
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 17:57
 

Re: Filterfunktion auch ohne Klartext...

Quantium40 | 10.09.18 - 17:53
 

Re: Filterfunktion auch ohne Klartext...

dura | 10.09.18 - 18:14
 

Re: Filterfunktion auch ohne Klartext...

Quantium40 | 10.09.18 - 20:43
 

Re: Filterfunktion auch ohne Klartext...

Anonymer Nutzer | 10.09.18 - 22:38
 

Re: Filterfunktion auch ohne Klartext...

redmord | 10.09.18 - 22:42
 

Re: Filterfunktion auch ohne Klartext...

Anonymer Nutzer | 10.09.18 - 22:50
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 22:57
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 22:45
 

Re: Filterfunktion auch ohne Klartext...

Anonymer Nutzer | 10.09.18 - 23:02
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 23:13
 

Re: Filterfunktion auch ohne Klartext...

Cybso | 10.09.18 - 18:09
 

Re: Filterfunktion auch ohne Klartext...

RFZ | 10.09.18 - 18:20
 

Re: Filterfunktion auch ohne Klartext...

seronulpha | 10.09.18 - 23:37
 

Re: Filterfunktion auch ohne Klartext möglich

RFZ | 11.09.18 - 00:03
 

Re: Filterfunktion auch ohne Klartext...

Neutrinoseuche | 11.09.18 - 07:11

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. Deutsche Nationalbibliothek, Frankfurt am Main
  3. Bundeskriminalamt, Wiesbaden, Berlin, Meckenheim
  4. cbs Corporate Business Solutions Unternehmensberatung GmbH, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 159,99€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)
  2. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,98€)
  3. 699€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de