Das mit salt und hash setzt man �blicherweise bei Logintabellen ein: Username Salt Passwordhash
Hat einen riesigen Vorteil - eine Dictionary Attacke gegen den Passwordhash wird ziemlich sinnlos. Nur wer sagt, da� man das nicht f�r andere Zwecke verwenden kann... Signierte Hashes - eTickets. Chris At 09:03 PM 2/4/2002 +0100, you wrote: >*rofl* Ja, genau! >Und dann noch nen biometrischen Leser, den jeder User braucht :-) > >Aber ich will jetzt Deine Antwort nicht l�cherlich machen! Danke f�r die >Info. Ist ziemlich aufschlu�reich und interessant. Aber ich glaub, das >Risiko, da� jemand die Umfrage f�lscht, nehme ich in diesem Fall in kauf. > >Hast Du die L�sung schon mal irgendwo eingesetzt? > >Danke > >Stefan > > > -----Urspr�ngliche Nachricht----- > > Von: Christoph Wille [mailto:[EMAIL PROTECTED]] > > Gesendet: Montag, 04. Februar 2002 20:59 > > An: AspGerman Kaffeehaus > > Betreff: [aspdecoffeehouse] Re: AW: Re: AW: Hitparade > > > > > > Ich habe wegen Referer mit Absicht nachgefragt - den kann man n�mlich > > elegant f�lschen (=keine sichere L�sung). > > > > Perfekt hinbekommen wird man es nicht, eine Umfrage kann man immer > > beeinflussen (auch Deine jetzige L�sung heble ich Dir in ca 10 > > Minuten aus, > > und spamme Dir die Umfrage zu). Man kann es nur sinnlos hart machen. > > > > Eine sehr harte L�sung: die Umfrage ist nur per speziellem Link > > erreichbar, > > wobei das in etwa so aussieht: > > > > umfrage.asp?<Entry>=<hashvalue> > > > > Es gibt eine Tabelle, wo <Entry> und geh�ssigerweise <salt> (und <salt2>) > > drinnen sind. <Entry> wird random erzeugt, <salt> ebenso. Aus > > <Entry> wird > > plus <salt> der <hashvalue> erzeugt. Eine andere Variante w�re, > > da� <Entry> > > die aktuelle Uhrzeit ist (automatischer Ablauf...), trotzdem mu�t Du Dir > > den <salt> merken. > > > > Jedes Mal, wenn der Umfragelink angezeigt wird, generierst Du > > eine Zeile in > > der Tabelle, und den Link mit diesen Daten. Auf der Umfrageseite > > kannst Du > > das dann verifizieren. > > > > Und damit keiner mehrfach votet: nun, hier hilft nur ein permanenter > > Cookie, der <Entry> und <hashvalue2> beinhaltet (dieser wird mit <salt2> > > generiert). Ist der nicht da, gibt's auf der Umfrageseite auch > > eine auf die > > Finger. Vorteil: der Attacker mu� neben dem Formular auch die > > Cookies faken. > > > > Richtig sicher wird's aber erst mit signierten Hashes - da ist > > dann schlu�-aus. > > > > Chris > > > > At 08:17 PM 2/4/2002 +0100, you wrote: > > >*grummel* Mu� ich meine Pfusch-L�sung jetzt echt kundtun? Habe > > gehofft, sie > > >bleibt unendeckt :-) > > > > > >N�, ich erstell in der default.asp ne Session. Und dann frage ich in der > > >vote.asp einfach ab, ob die Session vorhanden ist. > > >Wenn nat�rlich der User zuerst auf der default.asp kann er danach machen, > > >was er will. > > > > > > > > > > -----Urspr�ngliche Nachricht----- > > > > Von: Christoph Wille [mailto:[EMAIL PROTECTED]] > > > > Gesendet: Montag, 04. Februar 2002 20:13 > > > > An: AspGerman Kaffeehaus > > > > Betreff: [aspdecoffeehouse] Re: AW: Hitparade > > > > > > > > > > > > At 07:37 PM 2/4/2002 +0100, you wrote: > > > > >Soda, von ner anderen Seite linken geht nicht mehr und die > > Query.Strings > > > > >beim Voten sind auch weg. > > > > > > > > wie �berpr�fst Du denn das? Mit Referer? > > > > > > > > Chris | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
