tommix000
7662
naggedei schrieb:
Nein das ist nicht korrekt oder??
Die Gateway fungirt doch als Router und verteilt die einzelnen Anfragen an die Endsegmente?
In einer Firma gehe ich doch trotzdem mit miener statischen IP falls kein DHCP über einen Gateway ins Internet. Gerade da würde es doch leicht fallen einen User zu sperren, als wenn er über einen Provider in siNternet geht, wo jeden tag eine Neueinwahl und somit eine neue IP-Adresse verteilt wird.
ich gehe davon aus das die workstations per dhcp oder privaten ip-adressen (z.b. 192.168.0.x) versorgt werden. es gibt keinen grund einer workstation eine statische IP-adresse zu geben die im internet geroutet wird. um trotzdem im netz kommunizieren zu können wird die IP der workstation maskeriert. deshalb ist es üblich, das man nach aussen mit der identischen IP auftritt.
grundsätzlich macht eine statische IP nur sinn wenn der rechner serverdienste anbietet die von aussen erreichbar sein müssen. von diesen servern wird man aber kaum ins internet gehen, dafür hat man ja seine workstation.
schusch schrieb:
Wenn er über einen großen Provider geht, wird die IP dynamisch verteilt. Da wird ihm halt bei jedem Log-In neu ne IP vergeben, halt die ,die grad frei ist. Hilft nicht so sehr. Es sei denn, du willst BKA-mäßig Logs durchchecken.
und in firmen gehen fast imer alle workstations über einen gemeinsamen gateway ins internet, d.h. mit identischer IP. würde man dann einen benutzer dieser firma hier im forum sperren, könnte die ganze firma nicht mehr im forum posten.
der IP-vergleich kann in fast allen fällen NICHT zur identifizierung von forums-benutzern verwendet werden.
PsychoAdler schrieb:
Selber schuld, wer sich für zig Euro die Woche so ne Kacke in die Lungen ziehen muß. Noch viel ärmer finde ich die Pickelgesichter, die sich wärend dem Spiel ne Tüte rauchen, weil sie zu Hause Ärger mit Mama bekommen würden.
So Deppen hatte ich gegen Aachen vor mir im Block, aber es hat ein böser Blick genügt und der Typ hat sich woanders hingestellt.
PA
also ne, erst dem armen nh3 drohen und jetzt den unschuldigen kiffern. ich glaub dir würd ein entspannendes tütchen ab und zu auch ganz gut tun
miep0202 schrieb:
Die Sonne wird nicht explodieren.
In etwa 2 Milliarden Jahren wird sie sich langsam zu einem roten Riesen aufblähen, der im Laufe der Zeit aus Sicht der Erde den kompletten Horizont einnehmen und alles Leben auf der Erde (sofern bis dahin ein Solches noch existiert) verbrennen wird.
Danach stellt die Sonne langsam ihre Aktivität ein und schrumpft auf eine Größe kleiner als die Erde zusammen.
1 Fingerhut der Sonnenmaterie wird dann mehrere tausend Tonnen wiegen.
Wenn's soweit ist, sprecht mich einfach noch mal an. Bis dahin wünsche ich noch angenehmen Aufenthalt...
da ich ja dann reichlich geld durch mein programm ergaunert habe(ich hoff mal auf den fortschritt der technik und ein frühzeitiges gelingen meines unterfangens), werd ich mir ein paar überlebenstipps bei dir einkaufen
bb1898 schrieb:
bb1898 schrieb:
Sei mal vorsichtig mit Deinem "unter keinen Umständen". Du musst nur ein Programm schreiben, das schnell und ohne zu viel Speicherverbrauch jede noch so große Zahl in ihre Primfaktoren zerlegt, und schon kannst Du in großem Stil Passwörter knacken gehen (interessantere als die zum Eintracht-Forum).
Und da hätte ich jetzt gern die Edit-Funktion gehabt. Ergänzung: mit diesem Programm kannst Du Dir aussuchen, ob Du lieber reich, berühmt oder beides werden willst.
zeitlich wird das dann ein ganz schöner wettlauf, wenn mein programm mich reich machen soll bevor die sonne explodiert
eagle schrieb:
Wie Passwörter bei der Eintracht gespeichert werden ist erstmal irrelevant, denn ebay Passwörter lassen sich vor allem deshalb so leicht abfangen, da JavaScript in den Anzeigen immer noch möglich ist und mit Hilfe damit man die User zum "freiwilligen" heraus geben ihrer Passwörter bringen kann.
Davon abgesehen ist der Reiz zwischen einem Online-Auktionsportal und der Eintracht Seite ungleich größer...
naja, der poster hat ja allgemein bedenken wegen seinem passwort hier im eintracht-forum, deswegen ist es nicht unbedingt irrelevant, auch wenn das ausnutzen von javascript in eingabeformularen und deren ausführung hier und in so ziemlich jedem anderen forum nicht möglich ist.
ohne bei ebay aktiv zu sein wundert es mich doch stark, warum dort javascript nicht gefiltert wird.
es besteht doch überhaupt kein anlass, dem benutzer das eingeben von javascript zu erlauben.
in einem interview das ich zufällig bei stern-tv gesehen habe wurde von einem ebay-mitarbeiter die begründung geliefert das ein verzicht auf javascript die kommunikation im internet unmöglich machen würde! das ist ja sowas von gelogen und frei erfunden, da hätte ich mir von ner firma wie ebay aber ne bessere ausrede erwartet.
auserdem besteht ja gar kein anlass auf javascrip zu verzichten, es müssten ja nur die benutzereingabe von javascript oder HTML das javascript aufruft unterbunden werden.
der thread ist zwar schon einen monat tot, aber da ich gerade nicht viel zu tun habe kann ich ja mal beschreiben wie das passwort-management normalerweise in web-anwendungen gelöst wird:
benutzerpasswörter werden üblicherweise direkt nach der registrierung verschlüsselt und in der datenbank gespeichert. als verschlüsselungs-algorithmen werden meisstens MD-5 oder SHA-1 verwendet. diese beiden algorithmen zeichnen sich durch folgende merkmale aus:
1. das ergebnis der verschlüsselung (eine zeichenkette konstanter(!) länge) lässt niemals auf den ursprünglichen text schliessen, d.h. ändert man nur ein zeichen des ursprungstexts ergibt sich eine komplett andere zeichenkette.
2. sie sind einweg-algorithmen, d.h. man kann unter keinen umständen aus der verschlüsselten zeichenkette wieder das ursprungliche klartext-passwort generieren. deswegen bekommt man bei sicheren webanwendungen immer ein neues passwort zugewiesen wenn man sein altes vergessen hat, denn selbst der administrator der anwendung mit zugriff auf die datenbank kann aus dem verschlüsselten passwort niemals den ursprungstext generieren.
wenn sich ein benutzer nun anmeldet gibt er sein passwort ein, dieses wird auf dem server verschlüsselt und mit dem verschlüsselten gespeicherten passwort in der datenbank verglichen.
dieses verfahren hat den angenehmen nebeneffekt das selbst bei ge-hackter datenbank ein eindringling keinen zugriff auf die anwendung hat, da er nur das verschlüsselte passwort aus der datenbank vorliegen hat und dieses beim login nochmals verschlüsselt werden würde, was zu einem fehlschlagen des logins führt.
angreifbar sind die passwört dennoch auf 2 arten:
1. auf dem weg vom client zum server.
wird, wie bei der eintracht-seite, kein verschlüsselter SSL zugang ermöglicht, wird das passwort im klartext vom benutzer-rechner zum server übertragen. auf dem weg sind die daten anfällig für "man-in-the-middle" attacken, d.h. ein angreifer könnte die daten auf dem weg abfangen und auslesen.
2. brute-force attacken
brute-force attacken sind die brechstange unter den angriffsversuchen. der eindringling versucht durch simples erraten des passworts zugang zur anwendung zu bekommen, d.h. es werden automatisiert login-vorgänge mit wechselnden passwörtern versucht. zusätzlich können dictionaries eingesetzt werden die häufig vorkommende passwörter und zeichenketten beinhalten. deswegen sollte man am besten kein natürliches wort als passwort verwenden sondern idealerweise ein gemisch aus zahlen, zeichen und sonderzeichen.
bei einer anwendung wie diesem forum sind diese beiden möglichen lücken aber zu vernachlässigen, weil es zum einen wirksame technische mittel gegen eine brute-force attacke gibt, und eine man-in-the-middle attacke auch nicht so leicht auf die beine zu stellen ist. der zugang zu einem normalem online-forum lohnt diesen aufwand nicht.
zur sicherheit sollte man aber nicht unbedingt sein online-banking passwort in anderen anwendungen verwenden, denn man weiss nie wie sicher es gespeichert wird, und ob der eingesetzte algorithmus in ein paar jahren auch noch "sicher" ist.
so, soviel zu passwörtern. ich weiss zwar nicht ob das im eintracht-forum auf diese weise gehandhabt wird, aber dies ist übliches standardvorgehen in webanwendungen. vielleicht weiss ja tani mehr?
benutzerpasswörter werden üblicherweise direkt nach der registrierung verschlüsselt und in der datenbank gespeichert. als verschlüsselungs-algorithmen werden meisstens MD-5 oder SHA-1 verwendet. diese beiden algorithmen zeichnen sich durch folgende merkmale aus:
1. das ergebnis der verschlüsselung (eine zeichenkette konstanter(!) länge) lässt niemals auf den ursprünglichen text schliessen, d.h. ändert man nur ein zeichen des ursprungstexts ergibt sich eine komplett andere zeichenkette.
2. sie sind einweg-algorithmen, d.h. man kann unter keinen umständen aus der verschlüsselten zeichenkette wieder das ursprungliche klartext-passwort generieren. deswegen bekommt man bei sicheren webanwendungen immer ein neues passwort zugewiesen wenn man sein altes vergessen hat, denn selbst der administrator der anwendung mit zugriff auf die datenbank kann aus dem verschlüsselten passwort niemals den ursprungstext generieren.
wenn sich ein benutzer nun anmeldet gibt er sein passwort ein, dieses wird auf dem server verschlüsselt und mit dem verschlüsselten gespeicherten passwort in der datenbank verglichen.
dieses verfahren hat den angenehmen nebeneffekt das selbst bei ge-hackter datenbank ein eindringling keinen zugriff auf die anwendung hat, da er nur das verschlüsselte passwort aus der datenbank vorliegen hat und dieses beim login nochmals verschlüsselt werden würde, was zu einem fehlschlagen des logins führt.
angreifbar sind die passwört dennoch auf 2 arten:
1. auf dem weg vom client zum server.
wird, wie bei der eintracht-seite, kein verschlüsselter SSL zugang ermöglicht, wird das passwort im klartext vom benutzer-rechner zum server übertragen. auf dem weg sind die daten anfällig für "man-in-the-middle" attacken, d.h. ein angreifer könnte die daten auf dem weg abfangen und auslesen.
2. brute-force attacken
brute-force attacken sind die brechstange unter den angriffsversuchen. der eindringling versucht durch simples erraten des passworts zugang zur anwendung zu bekommen, d.h. es werden automatisiert login-vorgänge mit wechselnden passwörtern versucht. zusätzlich können dictionaries eingesetzt werden die häufig vorkommende passwörter und zeichenketten beinhalten. deswegen sollte man am besten kein natürliches wort als passwort verwenden sondern idealerweise ein gemisch aus zahlen, zeichen und sonderzeichen.
bei einer anwendung wie diesem forum sind diese beiden möglichen lücken aber zu vernachlässigen, weil es zum einen wirksame technische mittel gegen eine brute-force attacke gibt, und eine man-in-the-middle attacke auch nicht so leicht auf die beine zu stellen ist. der zugang zu einem normalem online-forum lohnt diesen aufwand nicht.
zur sicherheit sollte man aber nicht unbedingt sein online-banking passwort in anderen anwendungen verwenden, denn man weiss nie wie sicher es gespeichert wird, und ob der eingesetzte algorithmus in ein paar jahren auch noch "sicher" ist.
so, soviel zu passwörtern. ich weiss zwar nicht ob das im eintracht-forum auf diese weise gehandhabt wird, aber dies ist übliches standardvorgehen in webanwendungen. vielleicht weiss ja tani mehr?
tani1977 schrieb:
tommix000 schrieb:
das problem ist das meine mitspieler immer real oder manU o.ä. nehmen, da sieht man mit der eintracht ganz schön alt aus
oder:
was willst mir eigentlich sagen was ich für ein team zu nehmen hab, du penner! noch einmal und ich mach dich fertig!!! mit der lahmen eintracht ist doch gegen die arschlöcher von madrid nichts zu holen. was ein scheiss vorschlag, dafür gehört dir erstmal eine geklatscht!
ich lach mich gleich tot
endlich kann man mal so richtig loslegen
oder:
was willst du zwerg jetzt von mir?
*duck*
juhu, ich bin offiziell experte!
ich hab sie schon 2 mal auf premiere gesehen und war immer sehr angetan von deren support. bei einem auswärtsspiel waren sogar 20.000 fans aus palermo vor ort, weiss allerdings nimmer gegen wen das war.