heiko-barth.de

// Login absichern mit Hashing und Zwei-Faktor-Authentifizierung

Ein normaler Login besteht in der Regel aus einer HTML-Form und einem Server-Skript zur Validierung. Ist die Verbindung nicht zusätzlich über HTTPS abgesichert, kann ein Angreifer durch das Abhören des Netzwerkverkehrs die Zugangsdaten erlangen. Selbst wenn die Verbindung gesichert ist, gibt es andere (nicht technische) Möglichkeiten für einen Angreifer, z.B. die Eingabe der Zugangsdaten zu beobachten.

Einen HTTP Login absichern:

  1. Sichere Übertragung des Kennworts (per „Salted-Hash“)
  2. Zusätzliche Authentifizierung über ein Token (Smartphone App)

Grundgerüst

Um einen einfachen Login zu realisieren benötigt man eine HTML-Form mit Text- und Kennwortfeldern, sowie ein Server-Skript (in diesem Beispiel PHP) für die Validierung der Benutzerdaten:

login.html
<html>
<head>
<title>Login</title>
</head>
<body>
<form action="login.php" method="POST">
	Benutzername: <input type="TEXT" name="username"><br>
	Kennwort:     <input type="PASSWORD"name="password"><br>
	<input type="SUBMIT" name="Login" value="Login">
</form>
</body>
</html>
login.php
<?php
if ($_POST["username"] == "foo" && $_POST["password"] == "bar") {
	echo "Login ok";
else {
	echo "Login fehlgeschlagen";
}

// Donnerstag

Fishing under ice

Auf jeden Fall sehr verschickt 8-)

Red Aurora Australis

After chasing it for more than two years I was finally rewarded with two displays of Aurora Australis (Southern lights) within a week visible from Mornington peninsula, not far from Melbourne. The nights were warm an clear and the Moon was not in the sky either - I could not have asked for better conditions.

Einfach nur toll!

foo/bar

// Freitag

Nginx überholt IIS

Ich habe es ja bereits geahnt 1), nun haben es andere bestätigt: Microsofts Webserver IIS ist auf Platz 3 abgerutscht. Auf Platz 1 ist mit Abstand nach wie vor Apache, gefolgt nun von Nginx.

HTTP Status Cats

Und da wir gerade beim Thema Webserver sind, passend dazu die HTTP Status Cats 8-)

207 Multi-Status

401 Unauthorized

406 Not Acceptable

The Films of Steven Spielberg

Awesome!

foo/bar

1)
auch wenn 100 Server nicht ganz repräsentativ sind

// Server-Quiz

Ich habe 100 populäre Webserver gefragt: „Was für einen HTTP-Dienst setzt du ein?”

Weiter wollte ich wissen: „Bietest du auch eine verschlüsselte Kommunikation (HTTPS) an?”

Kurze Erläuterung für die „Geeks“:

  • Ja: erfolgreicher TCP-Verbindungsaufbau
  • Nein: TCP-Flag RST-ACK
  • kein Kommentar: Keine Reaktion auf TCP-SYN

Outtakes

BTW: Job-Börsen sind out. Wer heute etwas auf sich hält, sucht seine Mitarbeiter über HTTP-Header 8-)

Folgendes fiel mir bei der Auswertung der Server-Antworten ins Auge:

X-hacker: If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.

Hier noch weitere Kuriositäten aus der HTTP-Header-Welt, die ich hier gefunden habe:

X-Disclaimer: All Your Base Are Belong To Us
X-Pizza-Phone: 961.1.351904
X-Disclaimer: The local sysadmins have *nothing* to do with the content of this server.
X-Subliminal: You want to buy as many games as you can afford
X-Cotton: The Fabric of Our Lives
Veto: Usage of server response for statistics and advertising is disagreed!
Mickey-Mouse: Does_Not_Live_Here
Limerick: There was a young fellow named Fisher
Limerick: Who was fishing for fish in a fissure,
Limerick: When a cod, with a grin,
Limerick: Pulled the fisherman in
Limerick: Now they're fishing the fissure for Fisher.
X-Powered-By: Intravenous Caffeine Drips
X-kluged-by: Nick, Mic, Ash, Andy
X-munged-by: The powers that be
X-Sanity-Provided-By: Ashleigh
X-Stone-Cold-Steve-Austin: And that's the bottom line, cause Stone Cold says so.
X-Mick-Foley: Have a nice day!
X-Ric-Flair: To be the man, WHOOO!, you've got to beat the man.
X-Rock: If you smell what The Rock is cooking.
X-Booker-T: Can you dig it, SUCKAAAA?
X-Kurt-Angle: It's true, it's DAMN true.
X-Hurricane: Stand Back! There's a Hurricane Coming Through!
X-Kane: FREAKS RULE!
Owned And Operted By FSU Computer Club: 31137
X-You-Are-Owned-By: morris
TEXPOLICE: LAW_ENFORCEMENTS_FINEST
X-Side: : WESTSIDE-FOR-LIFE
X-beliebig: Dieser Header dient der allgemeinen Verwirrung =:)
X-Favourite-Animal: Mouse
Web 2.0



RSS   RSS abonieren

Github   Github
QR Code