Mittwoch, 8. März 2006
Sicherheits-Fanatisch?
Ich weiß nicht, ob ich da nicht ein wenig zu besessen bin, aber wie soll ein fehlerhafter Login zurückgewiesen werden?
Früher, als ich noch jung, perfektionistisch und unerfahren war, hab ich natürlich - sofern der entsprechende Benutzer existierte - eine Fehlermeldung "Passwort ist falsch" ausgegeben, doch je mehr ich darüber nachdachte und je älter ich wurde, störte es mich. Heute gibts von mir nur noch ein "Benutzer oder Passwort falsch". 
Da fehlt dann immerhin die Bestätigung, dass wenigstens der Benutzer existiert - bin ich paranoid? :hmm:
Anlass ist btw. ein misslungener Login-Versuch für einen Kunden bei "2" - da steht nur "Passwort ist falsch"...
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Na dieses "Benutzer oder Passwort falsch" ist doch eigentlich mittlerweilse fast überall üblich, oder?
Ich halte es weder für übertrieben noch paranoid, die nach außen übermittelten Informationen zu minimieren. Schließlich erhöht das den Aufwand eines potentiellen Angreifers (den Fall daß nur noch das PW zu erraten ist, wenn aus der Fehlermeldung hervorgeht daß der Benutzer existiert hattest Du ja erwähnt).
OT aber interessant:
http://www.netzpolitik.org/2006/schreibt-dem-phonoverband-bei-kopierschutzproblemen/
http://www.netzpolitik.org/2006/schreibt-dem-phonoverband-bei-kopierschutzproblemen/
Ich hatte bisher so gut wie keine Probleme mit cdparanoia 
Ist so völlig ok, Gründe dafür wurden ja schon genannt. Wieso sollte einem möglichen Angreifer mitgeteilt werden, dass ein zufälliger Benutzername wirklich existiert. Ich meine, nichts anderes stellen solche Rückmeldungen doch dar, wenn man nicht zufällig der Besitzer des Accounts ist ;D
Also wenn ich ein Cracker wäre, dann würde ich mich nicht hinsetzen und fleißig Benutzernamen und Passwörter ausprobieren. Ich würde das einem Skript erledigen lassen. Und dem wäre es dann ziemlich wurscht, was für eine Fehlermeldung kommt.
BTW was ist "2"? Müsste das nicht "11" heißen, wenn man den Operator berücksichtigt?
BTW was ist "2"? Müsste das nicht "11" heißen, wenn man den Operator berücksichtigt?
Der Ansatz des Operators ist richtig... Nur ist "&" ja ein Bitweiser vergleich und demnach wäre das Ergebnis, beachtet man den Operator, 1 bzw. true
Ich bleibe aufgrund des hohen Wiedererkennungsgrades allerdings bei der "2"..
Ich bleibe aufgrund des hohen Wiedererkennungsgrades allerdings bei der "2"..
Da will man mal schlau daherreden und dann schreibt man eine 1 zu viel. Sorry, ich werde ab jetzt nur noch höchst-intelligent kommentieren. Sonst mach ich mich noch total zum Deppen.. 
Also: 2. Abgemacht?
Also: 2. Abgemacht?
Suche
Read this blog!
Kategorien
Blog abonnieren
Buttons
Kommentare
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d
ass sie Dein Passwort in Klart
ext speichern.
Ist schon zu
lange her, dass ich mich mit
PPP(oE), CHAP und PAP auseinan
derg [...]
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m
einen DSL-Anschlussbrief von 1
&1 bekommen habe im Kundeninte
rface das DSL-Passwort geänder
t.
Im Anschlussbrief war st
and [...]
Mi, 28.06.2017 11:29
Diese Information ist für Inte
ressierte bereits in der Übers
chrift enthalten.
Ich glaub
e nicht, dass es mir obliegt d
en Marktbegleiter durch expliz
ite [...]
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve
rgessen". Oder, fast noch schl
immer: Bootloader so verkorkst
, dass das Update nicht funkti
oniert.
Aber das Ding ist o
hneh [...]