Du bist nicht angemeldet. [Anmelden]
Übersicht der Foren        Kalender     Hilfe   Forumsknigge
Knuddels.de-Forum » Das Forum » Archive » Neue Ideen & Verbesserungsvorschläge »

HP und Cookies
Dieses Thema ist vormoderiert, das bedeutet, neue Beiträge müssen erst von einem Moderator dieses Forums freigeschaltet werden, bevor sie für alle sichtbar werden.
Optionen
Thema bewerten
HP und Cookies - #1765107 - 25.05.2009, 23:45:43
UnknownSubject
~ Uni​ted ~​

Registriert: 04.06.2008
Beiträge: 1.471
Ort: Schwabenland
Ich sollte mich hier nochmal melden mit der "Idee". Sofern das jetzt nicht als Crossposting ausgelegt wird =P


Das Gästebuch ist ja jetzt nur noch beschreibbar, wenn man sich aus dem Chat aus weiterleiten lässt.
Gelöst wird das Ganze ja per Cookie.
Wie das ausgelesen wird, kann man sich ja im Quelltext des Gästebuchs anschaun.

Kann man sowas nicht auch für die HP einsetzen?
Es würde ja langen, wenn der Nickname übertragen und auslesbar wird.

Damit könnte man bspw. eine individuelle Begrüßung einer oder mehrerer Personen einstellen. Oder diverse Inhalte nur für bestimmte Personen anzeigen lassen ^^
Voraussetzung natürlich, diese loggen sich über den Chat ein.
Klar wäre im Quelltext weiterhin alles nachlesbar, aber was solls =) Den liest ja nicht jeder.


Grüßle
_________________________
Es gibt genau 10 Arten von Menschen. Die, die binär verstehen, und die, die es nicht verstehen.
[zum Seitenanfang]  
Re: HP und Cookies [Re: UnknownSubject] - #1765269 - 26.05.2009, 10:46:53
Bizarrus
Nicht registriert


Naja wenn man mal genau hinschauen würde, dann würde man genau sehen das nur ein einziger cookie vergeben wird. Dieser nennt sich "pwdHash" mehr wird nicht übertragen. Und jezt sag mir mal bitteschön wo du siehst, wo der Nickname übergeben wird.

Zitat:

Wie das ausgelesen wird, kann man sich ja im Quelltext des Gästebuchs anschaun.

Das bezweifle ich. Das was du im Quelltext siehst ist die ausgabe der Serveranfrage.
Du weist ja schon, das beim GB, Foto-System, etc PErl/CGI benuzt wird?
Und auch dass dies eine serverseitige Sprache ist?
Und somit die "auswertung" des Passworthashs auch von cgi/perl übernommen wird?

Ich glaube nicht das das eine Javascript'chen dort das komplette problem löst. Das wäre zu einfach.
Das wäre viel zu einfach diesen Passworthash weiterzuverarbeiten und somit ein großes Sicherheitsrisiko gegeben wäre.
[zum Seitenanfang]  
Re: HP und Cookies [Re: ] - #1766388 - 27.05.2009, 15:27:07
UnknownSubject
~ Uni​ted ~​

Registriert: 04.06.2008
Beiträge: 1.471
Ort: Schwabenland
Natürlich wird nur ein Cookie namens pwdHash erstellt.
Und jetzt schau Dir mal den Quelltext vom Gästebuch an.
Speziell, was im Spoiler steht.

Warnung! Spoiler!
Code:
<script>
function getNickAndPwd()
{
  if (document.cookie)
  {
    var aValues = document.cookie.split(";");
    for (var i=aValues.length-1; i>=0;  i--)
    {
      var aItem = aValues[i].split("=");
      var cookieName = ""+aItem[0];
      if ((cookieName.length > 0) && (cookieName.charAt(0) == " "))
      {
       cookieName = cookieName.substring(1);
      }
      var pwd = aItem[1] ? decode(""+aItem[1]) : "";
      if ((cookieName == "pwdHash") && (pwd.indexOf('|') >= 0))
      {
        var nickAndPwd = pwd.split("|");
        document.cookie = "pwdHash=;"; // delete value
        return nickAndPwd;
      }
    }
  }
  return new Array("", "");
}

var np = getNickAndPwd();

authorNick = np[0];
authorPassword = np[1];

if (authorNick.length > 0) {

  document.write('<INPUT TYPE=hidden id="name" NAME=name value="">');
  document.write('<INPUT TYPE=hidden id="passwort" NAME=passwort value="">');

  if (document.getElementById) {


    document.getElementById('name').value = authorNick;
    document.getElementById('passwort').value = authorPassword;

  } else {

    document.forms[0].name.value = authorNick;
    document.forms[0].passwort.value = authorPassword;

  }
}

</script>


Das Cookie wird ausgelesen. Einmal das Hashpasswort zur Authentifizierung, einmal der Nickname. Anders wäre eine direkte Anrede auf der Seite auch nicht möglich.

Und in der Form wäre es sicherlich auch für die HP möglich. Allerdings bräuchte man da keine Authentifizierung, es würde langen, wenn eben der Nickname auslesbar ist.

Mag schon sein, dass dahinter noch ein cgi Script steht, wäre aber nicht wirklich nötig. Es werden hier ja keine sensiblen Daten verarbeitet. Das übertragene Passwort ist ja nicht mein LogIn Passwort.


Bearbeitet von UnknownSubject (27.05.2009, 15:31:44)
_________________________
Es gibt genau 10 Arten von Menschen. Die, die binär verstehen, und die, die es nicht verstehen.
[zum Seitenanfang]  


Markiere alles als gelesen
Forums-Kontakt · Knuddels - Chat / Chatroom · [zum Seitenanfang]