gswkaiser Posted March 27, 2005 Report Share Posted March 27, 2005 Nachdem ich das dauernde einloggen in den Shop leid war, habe ich die "login.php" so ge?ndert, dass man in der URL gleich die Login-Daten mit ?bergeben kann. Mit einer URL wie http://www.meinshop.de/login.php?action=pr...rd=meinpasswort Ist man dann gleich im Shop eingeloggt! Da die Standard "login.php" das nicht unterst?tzt, muss man dort eine ?nderung einf?hren: Die Codezeilen $email_address = xtc_db_prepare_input($_POST['email_address']); $password = xtc_db_prepare_input($_POST['password']); sind zu ersetzen durch // W. Kaiser $email_address=$_POST['email_address']; $password =$_POST['password']; if ($email_address=='') { $email_address=$_GET['email_address']; } if ($password == '') { $password=$_GET['password']; } $email_address = xtc_db_prepare_input($email_address); $password = xtc_db_prepare_input($password); // W. Kaiser Link to comment Share on other sites More sharing options...
polkhigh33 Posted March 27, 2005 Report Share Posted March 27, 2005 gute idee, man kann aber auch einfach die passwortverwaltungsfunktionen des browsers (firefox, opera) verwenden, dann ist man auch mit 1 klick drin. Link to comment Share on other sites More sharing options...
mzanier Posted March 27, 2005 Report Share Posted March 27, 2005 keine gute idee. denn dann scheint diese url mit username und PW in ider log datei als url auf. Link to comment Share on other sites More sharing options...
polkhigh33 Posted March 27, 2005 Report Share Posted March 27, 2005 denn dann scheint diese url mit username und PW in ider log datei als url auf. stimmt :fear: gute einladung...... Link to comment Share on other sites More sharing options...
smedder Posted March 27, 2005 Report Share Posted March 27, 2005 Und bei der Passwortverwaltung kannst du Passw?rter auslesen, also am besten immer per Hand eintippen, solange man keinen Keylogger auf dem Rechner hat ist das am sichersten. Link to comment Share on other sites More sharing options...
gswkaiser Posted March 28, 2005 Author Report Share Posted March 28, 2005 Nun, derselbe String wird vom Browser nach dem manuellen Login an den Server geschickt, und taucht somit auch im Log auf! Da es kein zus?tzliches Sicherheitsrisiko gibt, kann man sich das eben auch vereinfachen. Link to comment Share on other sites More sharing options...
smedder Posted March 28, 2005 Report Share Posted March 28, 2005 Originally posted by gswkaiser@Mar 28 2005, 06:40 AM Nun, derselbe String wird vom Browser nach dem manuellen Login an den Server geschickt, und taucht somit auch im Log auf! Da es kein zus?tzliches Sicherheitsrisiko gibt, kann man sich das eben auch vereinfachen. Falsch! Nur wenn du keine SSL-Verschl?sselung hast ist der String auslesbar, ansonsten wird er verschl?sselt ?bertragen und ist somit auch nicht in den Logs zu finden. Link to comment Share on other sites More sharing options...
gswkaiser Posted March 28, 2005 Author Report Share Posted March 28, 2005 Dann macht man eben ein SSL-Login... Link to comment Share on other sites More sharing options...
KALE MX Posted March 28, 2005 Report Share Posted March 28, 2005 Dann macht man eben ein SSL-Login... Und dann w?re es sicher genug :grml: MfG KALE^MX Link to comment Share on other sites More sharing options...
smedder Posted March 28, 2005 Report Share Posted March 28, 2005 Nicht, wenn du das Passwort in der Url stehen hast. Link to comment Share on other sites More sharing options...
KALE MX Posted March 28, 2005 Report Share Posted March 28, 2005 Alsoooo, jetzt bin ich total verpeilt Kl?rt mich mal bidde auf... MfG KALE^MX Link to comment Share on other sites More sharing options...
mzanier Posted March 28, 2005 Report Share Posted March 28, 2005 wenn man ein formular via SSL absendet, dann werden die daten verscl?sselt. wenn man eine url mit parametern ?ber SSL aufruft, dann werden die parameter nicht verschl?sselt, und stehen somit in klartext im Log und der statistik. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.