Sicherer Login in die Forumverwaltung ------------------------------------- Es gibt immer wieder Diskussionen in verschiedenen Foren, warum der Blick auf das Passwort so leicht möglich ist. Dieses Päckchen soll nun einige Blicke etwas schwerer machen, liegt aber weiterhin beim Forenmaster, wie diese Blicke darüber hinaus verhindert werden können. 1. Passwort erscheint in der Adressleiste des Browsers Das ist die kleinste Hürde, bereits die einfachste Frameseite kann ganz normal arbeiten, ohne irgendetwas in der Adresszeile zu wechseln. Im Ordner /cgi...programm/ liegt eine neue 'login.cgi' und alternativ im Ordner /forum/ 'login.php'. Beide Dateien einfach gegen die bisherigen austauschen (für Nachinstallationen 'login.php' auch nach /cgi-bin/forum/data/forumorg/) und künftig schreiben sich diese Dateien ihr eigenes Frame. In der Adressleiste bleibt nur noch der Dateiname der Login-Datei stehen. 2. Passwort erscheint in der Statusleiste des Browsers Nun soetwas passiert nur beim überfahren mit der Maus über die Links in der Forenverwaltung. Hat aber auch beim Klick auf diesen Link den Nachteil, daß mit der GET-Methode das Folgeformular in der Logdatei des Providers nachlesbar ist. Im weiteren dann auch als Referer, wenn auf Speichern geklickt wird und alles im Klartext: (gekürzte LOG-Zeilen, links 'aufgerufene Seite' rechts 'Referer[komme von]') "mit Link besuchte Seite" "Referer auch nach Speichern" "GET /cgi-bin/forum/programm/forumedit.cgi?;;Phase1;header.htm" "/cgi-bin/forum/programm/login.cgi" "POST /cgi-bin/forum/programm/forumedit.cgi" "/cgi-bin/forum/programm/forumedit.cgi?;;Phase1;header.htm" "GET /cgi-bin/forum/programm/forumedit.cgi?;;Phase1;last.htm" "/cgi-bin/forum/programm/login.cgi" "POST /cgi-bin/forum/programm/forumedit.cgi?;;Phase2;last.htm" "/cgi-bin/forum/programm/forumedit.cgi?;;Phase1;last.htm" Nun gibt es keine Links mehr in den Dateien des Ordners /templates/, welche das Passwort enthalten. Es gibt noch Links in den Seiten, aber nicht mehr mit P***wort, welches beim Mausüberfahren sichtbar wäre. Nebeneffekt ist, daß auch mit der POST-Methode nur noch der Dateiname in die LOG-Dateien geschrieben wird und keine Variablen: "mit Button besuchte Seite" "Referer auch nach Speichern" "POST /cgi-bin/forum/programm/forumedit.cgi" "/cgi-bin/forum/programm/login.cgi" "POST /cgi-bin/forum/programm/forumedit.cgi" "/cgi-bin/forum/programm/forumedit.cgi" "POST /cgi-bin/forum/programm/forumedit.cgi" "/cgi-bin/forum/programm/login.cgi" "POST /cgi-bin/forum/programm/forumedit.cgi" "/cgi-bin/forum/programm/forumedit.cgi" Überschreibe bei gewünschter Nutzung alle alten Template-Dateien mit denen aus /cgi...templates/. 3. Passwort erscheint in der History des Browsers Nun wie der Verlauf/History gelöscht wird, sollte jedem Nutzer eines Anzeigegerätes (Browser) bekannt sein. Das beigelegte Bild 'html/historydelete.gif' sollte verdeutlichen, daß mit [Strg+H] im Internet Explorer der Verlauf ganz schnell geöffnet wird und mit der rechten Maustaste jeder Einzeleintrag oder der gezeigte 'DomainEintrag' komplett gelöscht werden kann. Nun wird es für Hinterherschnüffler schon etwas schwieriger das günstigste ist (immer) den Verlauf und die Temporären Dateien (Chache) zu löschen, wenn andere auf den Rechner zugreifen dürfen. Mit der Umstellung der Templates-Dateien auf die POST-Methode werden die Seiten im OfflineBetrieb auch nicht mehr erreichbar und setzen auch hier die gesendeten Variblen nicht mehr in die URL der History. Zur Umstellung ist auch /programm/wwwadmin.cgi auszutauschen, da dieses Einzelprogramm ebenfalls noch Links schrieb. Nun beruhigtes Einstellen Deines Forums, Thomas http://parsiq.net/fc295 14.03.2004 http://frontpage.hzc.info/forum1/