Erster "Syndication"-Ansatz

Übersicht

Sonstiges

Portal

Gehe zu Seite 1, 2, 3 Weiter

	ThorbenSchröder Ehemaliger Admin Betreff: Erster "Syndication"-Ansatz	Mi, Dez 29, 2004 22:55 Antworten mit Zitat
Mit der neuen BMax-Onlinehilfe werden auch erste Funktionen des Blitzforum.de - Netzwerkes an den Start gehen. Zu Anfang wird es sich dabei allerdings auf einen simplen Login mit den Benutzerdaten des Blitzforums beschränken. Dazu gibt es ein kleines PHP Skript das sich mit der Blitzforum.de Datenbank verbindet und einen gegebenen Benutzernamen samt Passwort auf seine Existenz und Richtigkeit überprüft. Um diesen Service in seinen eigenen Projekten nutzen zu können kann ich folgende PHP Funktion anbieten: Code: [AUSKLAPPEN] [EINKLAPPEN] function checkBlitzforumAuth($username, $password){ ob_start(); $password = md5( $password ); include( "http://www.blitzforum.de/syn/gen.php?mode=isUser&user=$username&password=$password" ); $isvalid = ob_get_contents(); ob_end_clean(); if( $isvalid == '1' ){ return( true ); } return(false); } Ihr übergebt der Funktion nun den Benutzernamen und das Password im Klartext und es gibt euch ein boolsches Richtig oder Falsch aus, je nachdem ob eure Benutzer/Passwort-Kombination richtig oder falsch war Um diesen Service nicht auf Kosten der Sicherheit des Blitzforums gehen zu lassen gibt es allerdings eine kleine Hürde die ihr vor der Inbetriebnahme dieser Funktion auf eurer Homepage überwinden müsst: Es gibt eine, sogenannte, Whitelist die die IP aller Server beinhaltet die für diesen Service freigeschaltet wurden, sollte ein Client das Skript ansprechen, dessen IP nicht freigeschaltet wurde wird keine Abfrage der Benutzerdaten durchgeführt. Soll euer Projekt in die Whitelist aufgenommen werden meldet euch bitte per PN oder eMail bei mir mit der IP eures Projektes und einer kurzen Erläuterung dazu. Ich werde dann, sofern keine Sicherheitsbedenken bestehen, euer Projekt freischalten. Als zweites Hindernis gibt es eine zweisekündige Pause bei jedem Aufruf des Skriptes, eine Bruteforce-Attacke soll so verhindert werden. Anmerkungen, Ideen, Wünsche etc bitte einfach in diesen Thread Posten. Thorben

ThorbenSchröder

Ehemaliger Admin

Betreff: Erster "Syndication"-Ansatz

Mi, Dez 29, 2004 22:55
Antworten mit Zitat

Mit der neuen BMax-Onlinehilfe werden auch erste Funktionen des Blitzforum.de - Netzwerkes an den Start gehen.

Zu Anfang wird es sich dabei allerdings auf einen simplen Login mit den Benutzerdaten des Blitzforums beschränken.

Dazu gibt es ein kleines PHP Skript das sich mit der Blitzforum.de Datenbank verbindet und einen gegebenen Benutzernamen samt Passwort auf seine Existenz und Richtigkeit überprüft.

Um diesen Service in seinen eigenen Projekten nutzen zu können kann ich folgende PHP Funktion anbieten:

Code: [AUSKLAPPEN]

function checkBlitzforumAuth($username, $password){

ob_start();

$password = md5( $password );

include( "http://www.blitzforum.de/syn/gen.php?mode=isUser&user=$username&password=$password" );

$isvalid = ob_get_contents();

ob_end_clean();

if( $isvalid == '1' ){

return( true );

}
return(false);
}

Ihr übergebt der Funktion nun den Benutzernamen und das Password im Klartext und es gibt euch ein boolsches Richtig oder Falsch aus, je nachdem ob eure Benutzer/Passwort-Kombination richtig oder falsch war Wink

Um diesen Service nicht auf Kosten der Sicherheit des Blitzforums gehen zu lassen gibt es allerdings eine kleine Hürde die ihr vor der Inbetriebnahme dieser Funktion auf eurer Homepage überwinden müsst:

Es gibt eine, sogenannte, Whitelist die die IP aller Server beinhaltet die für diesen Service freigeschaltet wurden, sollte ein Client das Skript ansprechen, dessen IP nicht freigeschaltet wurde wird keine Abfrage der Benutzerdaten durchgeführt.

Soll euer Projekt in die Whitelist aufgenommen werden meldet euch bitte per PN oder eMail bei mir mit der IP eures Projektes und einer kurzen Erläuterung dazu. Ich werde dann, sofern keine Sicherheitsbedenken bestehen, euer Projekt freischalten.

Als zweites Hindernis gibt es eine zweisekündige Pause bei jedem Aufruf des Skriptes, eine Bruteforce-Attacke soll so verhindert werden.

Anmerkungen, Ideen, Wünsche etc bitte einfach in diesen Thread Posten.

Thorben

Zuletzt bearbeitet von ThorbenSchröder am Di, Mai 24, 2005 16:25, insgesamt einmal bearbeitet

	theBlade	Do, Dez 30, 2004 0:11 Antworten mit Zitat
vorweg: den folgenden post nciht falsch verstehen. er ist nicht in einem arroganten unterton gedacht und soll auch nicht angreifend wirken. sollte dies der fall sein, bitte ich im vorraus um entschuldigung ^^ also, was ist das Blitzforum.de-Netzwerk und was hat die funktion oben damit zu tun?? verwirrt sei
"Ich bin wie ich bin. Die einen kennen mich, die anderen können mich." (Dr. Konrad Adenauer) UTFSB -> (use the fuckin "suchen"-button) User posted image <- link -.-

theBlade

Do, Dez 30, 2004 0:11
Antworten mit Zitat

vorweg: den folgenden post nciht falsch verstehen. er ist nicht in einem arroganten unterton gedacht und soll auch nicht angreifend wirken. sollte dies der fall sein, bitte ich im vorraus um entschuldigung ^^

also, was ist das Blitzforum.de-Netzwerk und was hat die funktion oben damit zu tun?? *verwirrt sei*

"Ich bin wie ich bin. Die einen kennen mich, die anderen können mich." (Dr. Konrad Adenauer)

UTFSB -> (use the fuckin "suchen"-button)

User posted image <- link -.-

	walski Ehemaliger Admin	Do, Dez 30, 2004 0:39 Antworten mit Zitat
Das Blitzforum.de - Netzwerk ist momentan non-existent Aber es ist geplant zum Beispiel bruZards Portal oder Sucos Seite etc etc, also alles was indirekt am Blitzforum.de hängt über EINEN Account erreichen zu können. Einmal anmelden, alles nutzen walski
buh!

walski

Ehemaliger Admin

Do, Dez 30, 2004 0:39
Antworten mit Zitat

Das Blitzforum.de - Netzwerk ist momentan non-existent Wink

Aber es ist geplant zum Beispiel bruZards Portal oder Sucos Seite etc etc, also alles was indirekt am Blitzforum.de hängt über EINEN Account erreichen zu können. Einmal anmelden, alles nutzen Wink

walski

buh!

	DivineDominion	Do, Dez 30, 2004 1:42 Antworten mit Zitat
Fidne Pause doof, da bruteforce-attacken ja mit dem phpBB dingsi ebenso möglich sind, wie mir dünkt also auf bruZ' page und dem showcase könnte ich gut und gerne auf 2sec latenz verzichten
christian.tietze@gmail.com - https://christiantietze.de macOS

DivineDominion

Do, Dez 30, 2004 1:42
Antworten mit Zitat

Fidne Pause doof, da bruteforce-attacken ja mit dem phpBB dingsi ebenso möglich sind, wie mir dünkt Smile

also auf bruZ' page und dem showcase könnte ich gut und gerne auf 2sec latenz verzichten

christian.tietze@gmail.com - https://christiantietze.de
macOS

	walski Ehemaliger Admin	Do, Dez 30, 2004 2:15 Antworten mit Zitat
Is doch nur EINMAL beim Login! walski
buh!

walski

Ehemaliger Admin

Do, Dez 30, 2004 2:15
Antworten mit Zitat

Is doch nur EINMAL beim Login!

walski

buh!

	TheShadow Moderator	Do, Dez 30, 2004 13:10 Antworten mit Zitat
Frage: wird nun wikipedia für BBmax-Doku genommen oder nicht? Dann wird da wohl jetzt so ein Hack eingebaut... Mal sehen was das dann wird...
AMD64 3500+ \| GeForce6600GT 128MB \| 1GB DDR \| WinXPsp2

TheShadow

Moderator

Do, Dez 30, 2004 13:10
Antworten mit Zitat

Frage: wird nun wikipedia für BBmax-Doku genommen oder nicht?
Dann wird da wohl jetzt so ein Hack eingebaut... Mal
sehen was das dann wird...

AMD64 3500+ | GeForce6600GT 128MB | 1GB DDR | WinXPsp2

	walski Ehemaliger Admin	Do, Dez 30, 2004 13:20 Antworten mit Zitat
Wie du hier nachlesen kannst wird für die Onlinehilfe ein komplett neu geschriebenes Skript eingesetzt, welches aber auf dem Wiki-Prinzip - Alle tragen was dazu bei basiert. Mehr dazu demnächst im erwähnten Thread, ich mache nämlich, wenn auich langsamer als erhofft, Fortschritte Thorben
buh!

walski

Ehemaliger Admin

Do, Dez 30, 2004 13:20
Antworten mit Zitat

Wie du hier nachlesen kannst wird für die Onlinehilfe ein komplett neu geschriebenes Skript eingesetzt, welches aber auf dem Wiki-Prinzip - Alle tragen was dazu bei basiert.

Mehr dazu demnächst im erwähnten Thread, ich mache nämlich, wenn auich langsamer als erhofft, Fortschritte Wink

Thorben

buh!

	konstantin	So, Jan 02, 2005 13:23 Antworten mit Zitat
dann freu dich mal auf exploit-findige kiddies, walski

konstantin

So, Jan 02, 2005 13:23
Antworten mit Zitat

dann freu dich mal auf exploit-findige kiddies, walski Smile

	bruZard Betreff: Re: Erster "Syndication"-Ansatz	Do, Jan 06, 2005 9:10 Antworten mit Zitat
ThorbenSchröder hat Folgendes geschrieben: Code: [AUSKLAPPEN] [EINKLAPPEN] include( "http://www.blitzforum.de/syn/isUser.php?user=$username&password=$password" ); Thorben Ist das Dein Ernst? Ich habe doch nicht versucht möglichst viele Exploits aus der neuen Portal Version zu entfernen nur um jetzt wieder einen neuen einzubauen. Ich überlege mal wie man das sicherer lösen kann. [EDIT] Oops ... sorry, habe überlesen dass das Passwort MD5 kompiliert ist ... sorry [/EDIT]
PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32 User posted image

bruZard

Betreff: Re: Erster "Syndication"-Ansatz

Do, Jan 06, 2005 9:10
Antworten mit Zitat

ThorbenSchröder hat Folgendes geschrieben:

Code: [AUSKLAPPEN]

include( "http://www.blitzforum.de/syn/isUser.php?user=$username&password=$password" );

Thorben

Ist das Dein Ernst? Ich habe doch nicht versucht möglichst viele Exploits aus der neuen Portal Version zu entfernen nur um jetzt wieder einen neuen einzubauen.
Ich überlege mal wie man das sicherer lösen kann.

[EDIT]
Oops ... sorry, habe überlesen dass das Passwort MD5 kompiliert ist ... sorry Smile

[/EDIT]

PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32

User posted image

	walski Ehemaliger Admin	Do, Jan 06, 2005 13:18 Antworten mit Zitat
Ich glaube das sollte nicht viel sicherer gehen, es ist einfach zu simpel um viele Schwachstellen einzubauen *g walski
buh!

walski

Ehemaliger Admin

Do, Jan 06, 2005 13:18
Antworten mit Zitat

Ich glaube das sollte nicht viel sicherer gehen, es ist einfach zu simpel um viele Schwachstellen einzubauen *g

walski

buh!

	Nemesis	Do, Jan 06, 2005 15:45 Antworten mit Zitat
Naja, da fragt sich dan hald eher wie vertrauenswürdig die anderen seiten sind denen ich so ja mein blitzforum.de pw anvertraue.

Nemesis

Do, Jan 06, 2005 15:45
Antworten mit Zitat

Naja, da fragt sich dan hald eher wie vertrauenswürdig die anderen seiten sind denen ich so ja mein blitzforum.de pw anvertraue.

	bruZard	Do, Jan 06, 2005 15:54 Antworten mit Zitat
Das ist natürlich ein ernstzunehmendes Problem, aber ich denke dass Du alt genug bist um abwägen zu können wo Du Dein Passwort hinterlässt und wo nicht.
PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32 User posted image

bruZard

Do, Jan 06, 2005 15:54
Antworten mit Zitat

Das ist natürlich ein ernstzunehmendes Problem, aber ich denke dass Du alt genug bist um abwägen zu können wo Du Dein Passwort hinterlässt und wo nicht.

PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32

User posted image

	walski Ehemaliger Admin	Do, Jan 06, 2005 17:34 Antworten mit Zitat
Das System hat eine Whitelist. Nur von mir eingetragene Server ( sprich IPs ) können es benutzen. walski
buh!

walski

Ehemaliger Admin

Do, Jan 06, 2005 17:34
Antworten mit Zitat

Das System hat eine Whitelist. Nur von mir eingetragene Server ( sprich IPs ) können es benutzen.

walski

buh!

	bruZard	Do, Jan 06, 2005 17:35 Antworten mit Zitat
sehr gut
PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32 User posted image

bruZard

Do, Jan 06, 2005 17:35
Antworten mit Zitat

sehr gut

PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32

User posted image

	bruZard	Do, Jan 06, 2005 18:20 Antworten mit Zitat
walski und ich haben das Script nun mithilfe meiner URL getestet und es arbeitet soweit. Sicher gibt es hier und da noch etwas zu verbessern, aber im Großen und Ganzen wird es DivineDominion und mir die Arbeit sehr erleichtern. Wer hier im Forum angemeldet ist, ist es dann auch automatisch im Portal und im Showcase.
PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32 User posted image

bruZard

Do, Jan 06, 2005 18:20
Antworten mit Zitat

walski und ich haben das Script nun mithilfe meiner URL getestet und es arbeitet soweit. Sicher gibt es hier und da noch etwas zu verbessern, aber im Großen und Ganzen wird es DivineDominion und mir die Arbeit sehr erleichtern.

Wer hier im Forum angemeldet ist, ist es dann auch automatisch im Portal und im Showcase.

PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32

User posted image

	ThorbenSchröder Ehemaliger Admin	Mo, Mai 23, 2005 9:17 Antworten mit Zitat
Das System wird umgestellt, ich bitte alle Nutzer es entsprechend umzustellen! Die neue URL für die User-Überprüfung ist: https://www.blitzforum.de/syn/...asPasswort Es tut mir leid, dass dies so plötzlich geschieht, eine Sicherheitslücke ist so allerdings nicht entstanden. Später am Tag wird es wohl erste neue Modes geben, wie zum Beispiel eMail-Adressen, etc. Thorben

ThorbenSchröder

Ehemaliger Admin

Mo, Mai 23, 2005 9:17
Antworten mit Zitat

Das System wird umgestellt, ich bitte alle Nutzer es entsprechend umzustellen!

Die neue URL für die User-Überprüfung ist:

https://www.blitzforum.de/syn/...asPasswort

Es tut mir leid, dass dies so plötzlich geschieht, eine Sicherheitslücke ist so allerdings nicht entstanden.
Später am Tag wird es wohl erste neue Modes geben, wie zum Beispiel eMail-Adressen, etc.

Thorben

Zuletzt bearbeitet von ThorbenSchröder am Di, Mai 24, 2005 12:49, insgesamt einmal bearbeitet

	regaa	Mo, Mai 23, 2005 9:38 Antworten mit Zitat
Und was genau ist das jetzt anders? Es ist immer noch ein true / false - Verfahren (oder nicht?). Jemand der es missbrauchen wollte, vorrausgesetzt seine Server-Ip steht in der Whitelist, würde also die Eingaben der Formulare abspeichern und hätte alle Passwörter.
UltraMixer Professional 3 - Download QB,HTML,CSS,JS,PHP,SQL,>>B2D,B3D,BP,BlitzMax,C,C++,Java,C#,VB6 , C#, VB.Net

regaa

Mo, Mai 23, 2005 9:38
Antworten mit Zitat

Und was genau ist das jetzt anders? Es ist immer noch ein true / false - Verfahren (oder nicht?). Jemand der es missbrauchen wollte, vorrausgesetzt seine Server-Ip steht in der Whitelist, würde also die Eingaben der Formulare abspeichern und hätte alle Passwörter.

UltraMixer Professional 3 - Download
QB,HTML,CSS,JS,PHP,SQL,>>B2D,B3D,BP,BlitzMax,C,C++,Java,C#,VB6 , C#, VB.Net

	ThorbenSchröder Ehemaliger Admin	Mo, Mai 23, 2005 18:24 Antworten mit Zitat
Momentan ist nichts anders, allerdings werden bald einige Neuerungen folgen, daher die neue Struktur Thorben

ThorbenSchröder

Ehemaliger Admin

Mo, Mai 23, 2005 18:24
Antworten mit Zitat

Momentan ist nichts anders, allerdings werden bald einige Neuerungen folgen, daher die neue Struktur Smile

Thorben

	bruZard	Mo, Mai 23, 2005 19:33 Antworten mit Zitat
EMail Übergabe?!?
PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32 User posted image

bruZard

Mo, Mai 23, 2005 19:33
Antworten mit Zitat

EMail Übergabe?!?

PIV 2,4GHz - 1GB DDR 333 - ATI Radeon9600 - WinXP - DX9.0c - BMax 1.14 - B3D 1.91 - 1280x1024x32

User posted image

	regaa	Di, Mai 24, 2005 8:59 Antworten mit Zitat
Wo ist das Passwort fällt mir grad auf?
UltraMixer Professional 3 - Download QB,HTML,CSS,JS,PHP,SQL,>>B2D,B3D,BP,BlitzMax,C,C++,Java,C#,VB6 , C#, VB.Net

regaa

Di, Mai 24, 2005 8:59
Antworten mit Zitat

Wo ist das Passwort fällt mir grad auf?

UltraMixer Professional 3 - Download
QB,HTML,CSS,JS,PHP,SQL,>>B2D,B3D,BP,BlitzMax,C,C++,Java,C#,VB6 , C#, VB.Net

Gehe zu Seite 1, 2, 3 Weiter

Übersicht

Sonstiges

Portal

Nach Oben

BlitzBasic Portal

Erster "Syndication"-Ansatz

Betreff: Erster "Syndication"-Ansatz

Betreff: Re: Erster "Syndication"-Ansatz