Shop-login F?r Faule Admins

gswkaiser · #1 (**permalink**) 27.03.2005, 09:39

Nachdem ich das dauernde einloggen in den Shop leid war, habe ich die "login.php" so ge?ndert, dass man in der URL gleich die Login-Daten mit ?bergeben kann.

Mit einer URL wie

http://www.meinshop.de/login.php?action=pr...rd=meinpasswort

Ist man dann gleich im Shop eingeloggt!

Da die Standard "login.php" das nicht unterst?tzt, muss man dort eine ?nderung einf?hren:

Die Codezeilen

Code:

$email_address = xtc_db_prepare_input($_POST['email_address']);
$password = xtc_db_prepare_input($_POST['password']);

sind zu ersetzen durch

Code:

// W. Kaiser 	
$email_address=$_POST['email_address'];
$password =$_POST['password'];
if ($email_address=='')
{
 	$email_address=$_GET['email_address'];
}
if ($password == '')
{
 	$password=$_GET['password'];
}
$email_address = xtc_db_prepare_input($email_address);
$password = xtc_db_prepare_input($password);
// W. Kaiser

polkhigh33 · #2 (**permalink**) 27.03.2005, 10:47

gute idee, man kann aber auch einfach die passwortverwaltungsfunktionen des browsers (firefox, opera) verwenden, dann ist man auch mit 1 klick drin.

xt:mzanier · #3 (**permalink**) 27.03.2005, 11:29

keine gute idee.

denn dann scheint diese url mit username und PW in ider log datei als url auf.

polkhigh33 · #4 (**permalink**) 27.03.2005, 11:42

Zitat:

denn dann scheint diese url mit username und PW in ider log datei als url auf.

stimmt :fear: gute einladung......

smedder · #5 (**permalink**) 27.03.2005, 16:43

Und bei der Passwortverwaltung kannst du Passw?rter auslesen, also am besten immer per Hand eintippen, solange man keinen Keylogger auf dem Rechner hat ist das am sichersten.

gswkaiser · #6 (**permalink**) 28.03.2005, 06:40

Nun, derselbe String wird vom Browser nach dem manuellen Login an den Server geschickt, und taucht somit auch im Log auf!

Da es kein zus?tzliches Sicherheitsrisiko gibt, kann man sich das eben auch vereinfachen.

smedder · #7 (**permalink**) 28.03.2005, 11:09

Zitat:

Originally posted by gswkaiser@Mar 28 2005, 06:40 AM
Nun, derselbe String wird vom Browser nach dem manuellen Login an den Server geschickt, und taucht somit auch im Log auf!

Da es kein zus?tzliches Sicherheitsrisiko gibt, kann man sich das eben auch vereinfachen.

Falsch!

Nur wenn du keine SSL-Verschl?sselung hast ist der String auslesbar, ansonsten wird er verschl?sselt ?bertragen und ist somit auch nicht in den Logs zu finden.

gswkaiser · #8 (**permalink**) 28.03.2005, 15:13

Dann macht man eben ein SSL-Login...

KALE MX · #9 (**permalink**) 28.03.2005, 20:47

Zitat:

Dann macht man eben ein SSL-Login...

Und dann w?re es sicher genug :grml:

MfG
KALE^MX

smedder · #10 (**permalink**) 28.03.2005, 20:52

Nicht, wenn du das Passwort in der Url stehen hast.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln