Verfasst: So 15.Jan, 2006 11:04
Top Job? Erstplassige Arbeit würde ich das bezeichnen!
Meinetwegen auch das
>Tob Job!
Sollte aber nicht abwertend rüberkommen, falls du es so interpretiert hast
OXPUS.de
phpBB-Support, PC Hilfe und vieles mehr...
https://www.oxpus.de:443/
CrackerTracker Pro 2nd Edition (4.x)
Seite 3 von 6
Verfasst: So 15.Jan, 2006 11:28
[quote="oxpus - So 15.Jan, 2006 11:04";p="52130"]Erstplassige[/quote]
Meinetwegen auch das
>Tob Job!
Sollte aber nicht abwertend rüberkommen, falls du es so interpretiert hast
Meinetwegen auch das
>Tob Job!
Sollte aber nicht abwertend rüberkommen, falls du es so interpretiert hast
Verfasst: So 15.Jan, 2006 11:56
Nein, Cback macht einen Top Job. Gar keine Frage.
Verfasst: So 15.Jan, 2006 16:09
hmmmm - ich weiß nicht so recht.
Heißt das, dass man jetzt jedesmal beim einloggen auch diesen visual code abtippseln muss?
Nicht bös sein, wenn ich da Kritik übe, aber das begeistert mich nicht. Ich versuche den Usern zu suggerieren, dass sie möglichst die Autologin-Funktion aus Sicherheitsgründen eher nicht nutzen sollen (bei den Admins und Mods ist es mir überhaupt wichtig), aber wenn man da jedesmal den Code miteingeben muss, dann ist das ja selbst mir zu mühsam.
Reicht es nicht, wenn man den Visual Code erst ab dem dritten, zweiten, meinetwegen nach einem falschen Login zusätzlich eingeben muss? oder hab ich bzgl. security da was übersehen?
j.
Heißt das, dass man jetzt jedesmal beim einloggen auch diesen visual code abtippseln muss?
Nicht bös sein, wenn ich da Kritik übe, aber das begeistert mich nicht. Ich versuche den Usern zu suggerieren, dass sie möglichst die Autologin-Funktion aus Sicherheitsgründen eher nicht nutzen sollen (bei den Admins und Mods ist es mir überhaupt wichtig), aber wenn man da jedesmal den Code miteingeben muss, dann ist das ja selbst mir zu mühsam.
Reicht es nicht, wenn man den Visual Code erst ab dem dritten, zweiten, meinetwegen nach einem falschen Login zusätzlich eingeben muss? oder hab ich bzgl. security da was übersehen?
j.
Verfasst: So 15.Jan, 2006 17:08
Hi,
hm...stimmt das wäre eigentlich auch eine gute Lösung. Es ist eben Gewöhnungssache ab nun jedes Mal beim LogIn den Code noch einzugeben und ist sicher etwas "mühsamer" als vorher oder sagen wir eben, ein paar Sekunden mehr Zeitaufwand.
Aber in Sachen Sicherheit wäre es ja auch noch in Ordnung, wenn das mit dem Visual Confirm Code beim LogIn erst z.B. nach dem dritten Fehl-LogIn (oder man lässt es eben per ACP einstellen, ab dem wievielten Fehl-LogIn es kommen soll) auftaucht. Dann setzt man weiterhin die neue Funktion seit 2.0.19 bei der Sperrzeit auf 0 und die Erlaubten LogIn Versuche auf 500 oder so und dann ändert sich ja in Sachen Sicherheit eigentlich nichts, wenn das erst ab dem dritten fehlerhaften LogIn käme und man hat keine zusätzliche Eingabe beim Einloggen - eben wie man es sonst gewöhnt ist bzw. war.
Finde ich eigentlich (auch) keine schlechte Idee, auch wenn man sich so auch nach 'ner Zeit dran gewöhnen wird oder würde..
Grüße
SkYfiGhTeR
hm...stimmt das wäre eigentlich auch eine gute Lösung. Es ist eben Gewöhnungssache ab nun jedes Mal beim LogIn den Code noch einzugeben und ist sicher etwas "mühsamer" als vorher oder sagen wir eben, ein paar Sekunden mehr Zeitaufwand.
Aber in Sachen Sicherheit wäre es ja auch noch in Ordnung, wenn das mit dem Visual Confirm Code beim LogIn erst z.B. nach dem dritten Fehl-LogIn (oder man lässt es eben per ACP einstellen, ab dem wievielten Fehl-LogIn es kommen soll) auftaucht. Dann setzt man weiterhin die neue Funktion seit 2.0.19 bei der Sperrzeit auf 0 und die Erlaubten LogIn Versuche auf 500 oder so und dann ändert sich ja in Sachen Sicherheit eigentlich nichts, wenn das erst ab dem dritten fehlerhaften LogIn käme und man hat keine zusätzliche Eingabe beim Einloggen - eben wie man es sonst gewöhnt ist bzw. war.
Finde ich eigentlich (auch) keine schlechte Idee, auch wenn man sich so auch nach 'ner Zeit dran gewöhnen wird oder würde..
Grüße
SkYfiGhTeR
Verfasst: So 15.Jan, 2006 23:16
Nun, man kann darüber philosophieren, wie über das Wetter oder die Politik, aber es ist ja auch abschaltbar 
Die Funktion wurde aber eingebaut, damit die phpBB-Original-Deaktivier-Funktion nicht missbraucht werden kann. Denn diese würde selbst einen Admin-Account blockieren, wenn ein Script-Kiddie diesen Account per Script ständig falsch anmelden würde. Der Ctracker schafft hier eindeutig mit der zusätzlichen Visual Confirmation Abhilfe!
Die Funktion wurde aber eingebaut, damit die phpBB-Original-Deaktivier-Funktion nicht missbraucht werden kann. Denn diese würde selbst einen Admin-Account blockieren, wenn ein Script-Kiddie diesen Account per Script ständig falsch anmelden würde. Der Ctracker schafft hier eindeutig mit der zusätzlichen Visual Confirmation Abhilfe!
Verfasst: Mo 16.Jan, 2006 09:02
Schon klar, das ist ja auch prinzipiell spitze.
Es würde aber doch reichen, wenn sich die Visual Confirmation nach einem falschen Login dazuschaltet.
Natürlich kann ich es abschalten, aber ich würde den Schtuz gerne verwenden. Nur will ich das den Usern in der Form nicht zumuten, weil ich weiß, dass da das große Raunzen und Meckern sicher kommt.
Es würde aber doch reichen, wenn sich die Visual Confirmation nach einem falschen Login dazuschaltet.
Natürlich kann ich es abschalten, aber ich würde den Schtuz gerne verwenden. Nur will ich das den Usern in der Form nicht zumuten, weil ich weiß, dass da das große Raunzen und Meckern sicher kommt.
Verfasst: Mo 16.Jan, 2006 10:56
Nun, Du kannst denen ja entgegnen, daß Sie entweder ein paar Zeichen mehr eintippern oder Ihren Account gesperrt sehen
Verfasst: Mo 16.Jan, 2006 15:30
[quote="diegoriv - 1.Januar 2006, 09:02";p="52164"]Es würde aber doch reichen, wenn sich die Visual Confirmation nach einem falschen Login dazuschaltet.[/quote]
Gute Idee, ma gucken wann ich die 4.1.1 rausbringe.
Dann sollte aber wirklich erst mal paar Wochen ruhe sein damit ich Klausuren vorbereiten kann.
Buhuhu nur 5 Minuten Freizeit irgendwann *wünsch*
Gute Idee, ma gucken wann ich die 4.1.1 rausbringe.
Dann sollte aber wirklich erst mal paar Wochen ruhe sein damit ich Klausuren vorbereiten kann.
Buhuhu nur 5 Minuten Freizeit irgendwann *wünsch*
Verfasst: Mo 16.Jan, 2006 15:40
[quote="cback - Mo 16.Jan, 2006 15:30";p="52174"]Gute Idee, ma gucken wann ich die 4.1.1 rausbringe.[/quote]
Das wäre spitzenklasse. Ich würd das gerne nützen, aber ich habs aus reinem Selbstschutz derzeit deaktiviert. Meine Leute sind keine Techniker und die würden das nicht verstehen. Schließlich gings ja bis jetzt auch ohne
[quote="cback - Mo 16.Jan, 2006 15:30";p="52174"]Dann sollte aber wirklich erst mal paar Wochen ruhe sein damit ich Klausuren vorbereiten kann.
Buhuhu nur 5 Minuten Freizeit irgendwann *wünsch*[/quote]
Ich könnt dir helfen
Kuchen bringen, Kaffee aufsetzen, Frischluft fecheln, .....
Als Programmierer hättest du keine Freude mit mir.
Das wäre spitzenklasse. Ich würd das gerne nützen, aber ich habs aus reinem Selbstschutz derzeit deaktiviert. Meine Leute sind keine Techniker und die würden das nicht verstehen. Schließlich gings ja bis jetzt auch ohne
[quote="cback - Mo 16.Jan, 2006 15:30";p="52174"]Dann sollte aber wirklich erst mal paar Wochen ruhe sein damit ich Klausuren vorbereiten kann.
Buhuhu nur 5 Minuten Freizeit irgendwann *wünsch*
[/quote]Ich könnt dir helfen
Kuchen bringen, Kaffee aufsetzen, Frischluft fecheln, .....
Als Programmierer hättest du keine Freude mit mir.
Verfasst: Mo 16.Jan, 2006 15:52
Ne Quatsch bin nun selber in ne Falle reingetappt.
Er weiß ja vor dem Login gar nicht wer sich einloggen will sprich ob er den VisCode einblenden soll oder nicht. Also bleibts so wies is. Sorry aber geht halt nich anders
Er weiß ja vor dem Login gar nicht wer sich einloggen will sprich ob er den VisCode einblenden soll oder nicht. Also bleibts so wies is.
Sorry aber geht halt nich anders Verfasst: Mo 16.Jan, 2006 15:53
*cback in den arm nimmt und tröstet*
Ich fühle mit Dir!
Ich fühle mit Dir!
Verfasst: Mo 16.Jan, 2006 16:06
Danke.
Oh... mir fällt da gerade... *nachdenk*
Ich probier mal ein paar Kapriolen bezüglich login. Vielleicht kann ich trotzdem schaffen das der Login weiß wer sich denn einloggen will bevor... ja ... hat schon mal wer Minority Report gesehen? Ja das Forum muss wissen ob jemand ... oke ich probier was.
Oh... mir fällt da gerade... *nachdenk*
Ich probier mal ein paar Kapriolen bezüglich login. Vielleicht kann ich trotzdem schaffen das der Login weiß wer sich denn einloggen will bevor... ja ... hat schon mal wer Minority Report gesehen?
Ja das Forum muss wissen ob jemand ... oke ich probier was. Verfasst: Mo 16.Jan, 2006 16:47
naja möglich währe es schon
wenn in der CT-confirmtable (ctvi*dinges*) von genannter sessionID schon ein eintrag existiert wird angezeigt, andernfalls (wenn keiner vorherrscht) wird unterdrückt
um "den" eintrag aber zu bekommen müsste man aber das Confirm IMG trozdem einblenden (wenn auch nur 1x1 pix )
was den schutz aber dann gewaltig leiden lässt sollte jemand mit einem Skript kommen (daher lösung = böse)
möglich währe IMO auch ein cookie (quasi 1x als Confirm-fähiger-mensch identifiziert bischen ruhe vor dem ding) was dann eine gültigkeit von 1Tag/Monat hat und währenddessen das Confirm unterdrückt
was aber die sicherheit eben etwas leiden lässt im großen und ganzen
wenn in der CT-confirmtable (ctvi*dinges*) von genannter sessionID schon ein eintrag existiert wird angezeigt, andernfalls (wenn keiner vorherrscht) wird unterdrückt
um "den" eintrag aber zu bekommen müsste man aber das Confirm IMG trozdem einblenden (wenn auch nur 1x1 pix )
was den schutz aber dann gewaltig leiden lässt sollte jemand mit einem Skript kommen (daher lösung = böse)
möglich währe IMO auch ein cookie (quasi 1x als Confirm-fähiger-mensch identifiziert bischen ruhe vor dem ding) was dann eine gültigkeit von 1Tag/Monat hat und währenddessen das Confirm unterdrückt
was aber die sicherheit eben etwas leiden lässt im großen und ganzen
Verfasst: Mo 16.Jan, 2006 16:51
Du denkst zu kompliziert. 
Ich denke ich kann Sicherheit und Komfortabel kombinieren.
Ich denke ich kann Sicherheit und Komfortabel kombinieren.
Verfasst: Mo 16.Jan, 2006 17:08
[quote="cback - Mo 16.Jan, 2006 16:51";p="52188"]Du denkst zu kompliziert. [/quote]
Vielleicht denkst du auch zu kompliziert.
Der VisCode kann ja nach BenNamen und Passwort auf einer extra Page eingegeben werden. Dann weißt du auch, wer sich einloggen will.
Und diese separate Seite erscheint eben nur, wenn man sich vorher schon mal verklopft hat.
Geht das?
[/quote]Vielleicht denkst du auch zu kompliziert.
Der VisCode kann ja nach BenNamen und Passwort auf einer extra Page eingegeben werden. Dann weißt du auch, wer sich einloggen will.
Und diese separate Seite erscheint eben nur, wenn man sich vorher schon mal verklopft hat.
Geht das?
Verfasst: Mo 16.Jan, 2006 17:17
Der Cback, backt da wieder einen Code der sicherlich das Problem ( Wo sich bei mir auch schon jemand beschwert hat) behebt das man sich da mit dem Visicode jedesmal einloggen muß...
Bin mal gespannt....
Bin mal gespannt....
Verfasst: Mo 16.Jan, 2006 18:03
Laßt ihn mal machen, er hat eine Idee und die wird wieder genial umgesetzt.
Verfasst: Mo 16.Jan, 2006 18:50
@diegoriv:
Extraseite ist viel zu kompliziert, außerdem würde das Loginsystem dann sagen "oke" wenn das PW Stimmt, das käme den Brute Forcern auch wieder zu Gunsten.
Gibt was viel einfacherers.
Muss noch was für morgen vorbereiten und dann mach ich mich da heute noch dran. Lasst Euren selbsternannten CodeTrooper mal basteln. *gg*
Extraseite ist viel zu kompliziert, außerdem würde das Loginsystem dann sagen "oke" wenn das PW Stimmt, das käme den Brute Forcern auch wieder zu Gunsten.
Gibt was viel einfacherers.
Muss noch was für morgen vorbereiten und dann mach ich mich da heute noch dran. Lasst Euren selbsternannten CodeTrooper mal basteln. *gg*
Verfasst: Mo 16.Jan, 2006 18:56
[quote="cback - Mo 16.Jan, 2006 18:50";p="52197"]Gibt was viel einfacherers.
Muss noch was für morgen vorbereiten und dann mach ich mich da heute noch dran. Lasst Euren selbsternannten CodeTrooper mal basteln. *gg* [/quote]
War bloß so ein Gedanke, aber ich wusste, dir fällt was ein - wir alle wussten das doch - oder?????
Ich bleib beim Kaffee kochen, das schaff ich relativ problemlos, dazu muss ich mich nicht mal einloggen
Muss noch was für morgen vorbereiten und dann mach ich mich da heute noch dran. Lasst Euren selbsternannten CodeTrooper mal basteln. *gg*
[/quote]War bloß so ein Gedanke, aber ich wusste, dir fällt was ein - wir alle wussten das doch - oder?????
Ich bleib beim Kaffee kochen, das schaff ich relativ problemlos, dazu muss ich mich nicht mal einloggen
Verfasst: Mo 16.Jan, 2006 21:00
Sodele.
Version 4.1.1 ist draußen. Downloadlink siehe erstes Posting.
Viel Spaß
Folgendes nun:
Loginscreen selbst ohne Visuelle Bestätigung. Will sich ein User einloggen geht das auch ohne wenn die Daten stimmen.
Loggt sich der User einmal falsch ein (falsches Passwort) bekommt er halt wie gewohnt die Meldung, dass sein Passwort falsch war. Geht er nun erneut auf die Loginseite, dann tippt er dort wieder Username & Passwort ein. Dann wird aber nicht direkt der Login geprüft sondern dann die Loginseite erneut geladen und zwar mit der Visuellen Bestätigung.
Wird diese und das Passwort korrekt eingetragen wird die Sperre wieder entfernt. Ansonsten bleibt sie so lange bestehen bis ein gültiger Login erfolgte.
Version 4.1.1 ist draußen. Downloadlink siehe erstes Posting.
Viel Spaß
Folgendes nun:
Loginscreen selbst ohne Visuelle Bestätigung. Will sich ein User einloggen geht das auch ohne wenn die Daten stimmen.
Loggt sich der User einmal falsch ein (falsches Passwort) bekommt er halt wie gewohnt die Meldung, dass sein Passwort falsch war. Geht er nun erneut auf die Loginseite, dann tippt er dort wieder Username & Passwort ein. Dann wird aber nicht direkt der Login geprüft sondern dann die Loginseite erneut geladen und zwar mit der Visuellen Bestätigung.
Wird diese und das Passwort korrekt eingetragen wird die Sperre wieder entfernt. Ansonsten bleibt sie so lange bestehen bis ein gültiger Login erfolgte.
Verfasst: Mo 16.Jan, 2006 21:23
Hi,
jaaa...das ist prima!!
Super Arbeit, dankeschön! Funktioniert einwandfrei.
Grüße
SkYfiGhTeR
jaaa...das ist prima!!
Super Arbeit, dankeschön! Funktioniert einwandfrei.
Grüße
SkYfiGhTeR
Verfasst: Mo 16.Jan, 2006 21:34
Echt Prima Idee (an eine Visuelle Bestätigung beim Login hatte ich auch schonmal gedacht)! :ok
Dummerweise hänge ich mit Update allgemein etwas hinterher und beim CTracker musste ich die Tage leider feststellen das ich entweder nicht den Professional 3.0.1 installiert hab (was ich eigentlich so im Hinterkopf habe), oder momentan zu blöd bin um die Updateanleitung zu befolgen.
// EDIT
Man sollte auch die richtige Updateanleitung nehmen!
Dummerweise hänge ich mit Update allgemein etwas hinterher und beim CTracker musste ich die Tage leider feststellen das ich entweder nicht den Professional 3.0.1 installiert hab (was ich eigentlich so im Hinterkopf habe), oder momentan zu blöd bin um die Updateanleitung zu befolgen.
// EDIT
Man sollte auch die richtige Updateanleitung nehmen!
Verfasst: Mo 16.Jan, 2006 21:55
Das passt und ging ja turboflott.
Ist bereits eingebaut und aktiviert. Wenn jemand sein eigenes Passwort nicht richtig schreiben kann, dann kann ich auch den VisCode abverlangen, aber von Haus aus wäre es nicht zumutbar gewesen.
Trotzdem erlaube ich meinen Leuten 2 Versuche, bevor der VisCode sich dazuschaltet. Sollte eigentlich sicherheitstechnisch trotzdem passen - oder?
Jedenfalls vielen Dank
Ich hätte dafür Wochen gebraucht und es wäre dann dennoch nur eine halbseidene Verrenkung über siebzehn Ecken gewesen.
Ist bereits eingebaut und aktiviert. Wenn jemand sein eigenes Passwort nicht richtig schreiben kann, dann kann ich auch den VisCode abverlangen, aber von Haus aus wäre es nicht zumutbar gewesen.
Trotzdem erlaube ich meinen Leuten 2 Versuche, bevor der VisCode sich dazuschaltet. Sollte eigentlich sicherheitstechnisch trotzdem passen - oder?
Jedenfalls vielen Dank
Ich hätte dafür Wochen gebraucht und es wäre dann dennoch nur eine halbseidene Verrenkung über siebzehn Ecken gewesen.
Verfasst: Mo 16.Jan, 2006 22:07
Hi,
jep, ich finds auch echt klasse und super schnell ging das Ganze!
Hm...wie du erlaubst deinen Benutzern zwei Versuche? Es kommt doch nach einem falsch eingeben dann beim nächsten Mal der VisCode oder was hast du gemacht, dass es erst nach zweimal falsch eingeben kommt? *g*
Grüße
SkYfiGhTeR
jep, ich finds auch echt klasse und super schnell ging das Ganze!
Hm...wie du erlaubst deinen Benutzern zwei Versuche? Es kommt doch nach einem falsch eingeben dann beim nächsten Mal der VisCode oder was hast du gemacht, dass es erst nach zweimal falsch eingeben kommt? *g*
Grüße
SkYfiGhTeR