Tagesarchiv für den 14. Mai 2009

Nobody’s perfect

Donnerstag, den 14. Mai 2009

Nach dem Artikel über die DENIC-Passwort-Verschlüsselung erhielt ich eben von einem Blogleser einen Hinweis auf bestehende XSS-Lücken auf unserer Website.

Die Fehler wurden selbstverständlich umgehend behoben. Die betroffenen Scripte stammten aus einer Zeit, zu welcher der Begriff “XSS” noch völlig unbekannt war. Aber das ist eigentlich auch keine akzeptable Ausrede. Dafür ein Anlass, die ganzen alten Scripte mal wieder zu prüfen…

Das “etwas andere” SMS-Gateway

Donnerstag, den 14. Mai 2009

Die Telekom bietet auf ihrem neu eröffneten Entwicklerportal Developer Garden Programmierschnittstellen für einige Dienste wie z.B. SMS-Versand oder Aufbau einer Telefonverbindung.

Wer statt der bereitgestellten SDKs die Webservice-Schnittstelle nutzen will (oder muss) wird es aber nicht leicht haben, wie die Dokumentation zeigt. Diese Lösung mag technisch zwar sauber sein, und in hochkomplexen Systemen wie bei der Telekom auch sicher berechtigt sein, aber vielleicht schießt diese doch etwas am Ziel vorbei. Für den Versand einer SMS-Nachricht werden mindestens 4 SOAP-Nachrichten hin- und hergeschickt, und insgesamt rund 20 kB Daten ausgetauscht…

Für unser SMS-Gateway reicht ein einziger HTTP-Request. Die Authorisierung erfolgt über ein Hash, welches das Passwort, einen Timestamp, alle Nutzdaten sowie eine fortlaufende Seriennummer umfasst. Somit wird kein Klartextpasswort übertragen (unabhängig von der SSL-Verbindung), und der Sendeauftrag kann nicht mehrfach ausgeführt werden. Und ein PHP-Client dafür ist in weniger als 5 Minuten programmiert. :)

Unsichere Passwortverschlüsselung

Donnerstag, den 14. Mai 2009

Was hat sich die DENIC eigentlich bei der Seite mit der Passwort-Verschlüsselung gedacht?

denic-passwort.jpg

Gibt man in dem Feld ein Passwort ein (welches übrigens mindestens 12 Zeichen lang sein soll; ein entsprechende Fehlermeldung erhält man aber erst nach einem erfolglosen Versuch), dann wird dieses unverschlüsselt (!) zum Webserver der DENIC gesendet, und dort der entsprechende Hash-Wert berechnet:

denic-passwort-post.gif

Was soll das bitteschön? Sollen Benutzer dazu ermuntert werden, ihre (möglicherweise “sicheren”) Passwörter unverschlüsselt über’s Netz zu schicken, nur um einen Hash-Wert berechnet zu bekommen?

Die Berechnung von Hashes geht üblicherweise auch komplett in JavaScript - somit müssten überhaupt keine Daten über’s Netz geschickt werden. Wir bieten unseren Kunden so zum Beispiel an, ihre .htaccess-Passwörter zu berechnen.

[UPDATE 18.05.2009] Die Passwort-Verschlüsselung wurde inzwischen von der DENIC-Website entfernt.