Wie sicher ist dieses Java-Script???

  • Themenstarter Gelöschtes Mitglied 29330
  • Beginndatum
G

Gelöschtes Mitglied 29330

Guest
<!--//--><![CDATA[//><!--
function getElementById(id){
var o, d=document;
if (d.layers) {o=d.layers[id];if(o) o.style=o};
if (!o && d.getElementById) o=d.getElementById(id);
if (!o && d.all) o = d.all[id];
return o;
}

function webLoginShowForm(i){
var a = getElementById('WebLoginLayer0');
var b = getElementById('WebLoginLayer2');
if(i==1 && a && b) {
a.style.display="block";
b.style.display="none";
document.forms['loginreminder'].txtpwdrem.value = 0;
}
else if(i==2 && a && b) {
a.style.display="none";
b.style.display="block";
document.forms['loginreminder'].txtpwdrem.value = 1;
}
};
function webLoginCheckRemember () {
if(document.loginfrm.rememberme.value==1) {
document.loginfrm.rememberme.value=0;
} else {
document.loginfrm.rememberme.value=1;
}
}
function webLoginEnter(nextfield,event) {
if(event && event.keyCode == 13) {
if(nextfield.name=='cmdweblogin') {
document.loginfrm.submit();
return false;
}
else {
nextfield.focus();
return false;
}
} else {
return true;
}
}
//--><!]]>




Habe dieses Script auf einer Seite gefunden, als Beispiel für ein extrem sicheres Javascript Passwort abfrage. Stimmt das? Oder gibt es da jetzt auch schon bekannt Angriffs-Methoden die ich einfach nicht gefunden habe und meine Website somit eigentlich genau so wenig wie vorher geschützt???

Kenne mich nicht wirklich gut in Javascript aus, könnte mir vlt. auch noch jemand erzählen was dieses Script genau macht?

Also es fragt das eigegebene Passwort mit einem Dokumenten Name auf dem Server ab, oder?

Natürlich werden die Einzelnen Funktionen auf der Website im Html Text an den richtigen Stellen eingesetzt.

Zusammenfassend:-Was macht das Script?
-Wie funktioniert es?
-Ist es sicher?
-Gibt es bekannte Angriffs-Methoden?

Vielen Dank im Voraus.
 
Hallo Hard_Veur,

-Was macht das Script?
So wie hier vorliegend: gar nichts.
Das Skript ist nicht vollständig (Aufrufe der definierten Funktionen fehlen, erfolgen ggf. an anderer Stelle im JavaScript-Code oder über Event-Attribute von HTML-Elementen).

-Wie funktioniert es?
Der Browser des Besuchers interpretiert das Skript, d.h. er "führt es aus".

Das Skript selbst beinhaltet keine sicherheitsrelevanten Routinen.
Generell kann JavaScript nur selten etwas zu Sicherheitsaspekten beitragen, da JavaScript im Browser des Besuchers (also auf dessen Computer) ausgeführt und daher dort auslesbar, manipulierbar oder auch gänzlich deaktivierbar ist. Daher erfolgt eine Prüfung von Authentifizierungsinformationen zumeist Server-seitig nach dem Absenden des Formulars.

-Gibt es bekannte Angriffs-Methoden?
Ja, viele. Das Skript hat damit jedoch nichts zu tun. :)

Also es fragt das eigegebene Passwort mit einem Dokumenten Name auf dem Server ab, oder?
Nein, das Skript selbst macht nichts dergleichen.
Am besten, du informierst dich grundlegend über die Art und Weise, wie HTML-Formulare funktionieren. JavaScript welches an den Browser gesendet wird, kann hier nur "client-seitige" Funktionalitäten hinzufügen, die grundlegenden Mechanismen bleiben die selben:
- Ein Formular ist in HTML definiert
- Formularelemente werden durch den Besucher ausgefüllt, das Formular abgesendet
- Browser sendet eine Anfrage (HTTP-Paket) an einen Web-Server mitsamt den eingegebenen Informationen
- Web-Server verarbeitet die Informationen und generiert eine Antwort

(...) meine Website somit eigentlich genau so wenig wie vorher geschützt???
Kann es sein, dass du bereits negative Erfahrungen in Bezug auf die "Sicherheit" deiner Web-Seite gemacht hast?

Sollte dem so sein, schreibe am besten, was vorgefallen ist und welches System du einsetzt. Um so eher wir wissen, was deine Gründe für die Suche und den Fund dieses Skripts sind, desto besser können wir dir helfen.

Grüße!
 
Hier! So wird das Script aufgerufen

HTML:
<div id="WebLoginLayer0" style="position:relative">     
    <!-- login form section-->
    <form method="post" name="loginfrm" action="/login" style="margin: 0px; padding: 0px;"> 
    <input type="hidden" value="0" name="rememberme"> 
    <div>
    <label for="username">Nutzername:</label><br>
    <input type="text" name="username" onkeypress="return webLoginEnter(document.loginfrm.password);" size="8" value=""></div>
    <div>
    <label for="password">Passwort:</label><br>
    <input type="password" name="password" onkeypress="return webLoginEnter(document.loginfrm.cmdweblogin);" value="">
    </div>
 
Der hier eher unreflektiert hineinkopierte HTML-Ausschnitt sowie die fehlende Beantwortung meiner Rückfragen lässt mich erahnen, dass die geschilderte Motivation des Autors für diesen Post unzutreffend ist.

Gerne gehe ich auf konkrete Fragen zum Verständnis des Codes ein.
Wenn jedoch der vermutete "Versuch" die Login Maske eines CMS "MODX" zu umgehen im Vordergrund steht, noch dazu als Angriffspunkt jene JavaScript-Komponente gewählt wurde, welche die Usability durch das Verhindern eines submits nach Enter im ersten input[type=text] samt setzen des focus auf das nächste Feld erhöhen möchte, kann ich hierzu nichts beitragen.

Sollte ich richtig liegen, wäre die genutzte Kreativität für die Begründung des Posts im Versuch des Lernens und Verstehens des Codes sinnvoller angelegt.

Sollte ich mich wirklich täuschen, ein kleiner Hinweis:
document.loginfrm.submit();
// Sendet das Formular (ohne vorhergehende Manipulation von Eingabewerten oder der Zielseite) ab, daher keine sicherheitstechnische Relevanz
 
Zuletzt bearbeitet:
Kurze Erklärung...

Also auf GitHub habe ich das erste Javascript gefunden und in dem Github "Forum" die frage gestellt Wie? Wo? Und so weiter.
Da hab ich dann diesen Html Ausschnitt bekommen mit dem Kommentar

Zitat: "Hier schau dir das mal an dann solltest du wissen wie es funktioniert und wie du es einsetzten könntest."

Nach 1-2 Wochen keine Antwort bekommen ob mir jemand diesen Kommentar weiter Erklären kann. Nach 2,5 das Thema dann eingestellt.

Jetzt dachte ich wenn ich hier einfach meinen Thread rein kopiere würde ich vlt. bessere/andere Antworten bekommen und als du dann das mit dem Html-Text gesagt hast dachte ich mir da nahm ich ebenfalls den von GitHub muss ja irgendwie stimmen?!

Also könntest du mir den Html-Text dann einfach nur Erklären und was der von GitHub gemeint hatte mit dem "dann weißt du wie es geht"?


Und ich sehe bei dir nur eine Frage also welche fehlende Beantwortung deiner Fragen? :)

Und tut mir leid wenn das irgendwas mit CMS "MODX" umgehen zu tun hat.
 
Für was für ein System möchtest du denn die Sicherheit erhöhen?

Kannst du einen Link posten, wo dir dieses Skript als "sichere Passwortabfrage" empfohlen wurde?

Welchen Teil des Codes verstehst du und welchen nicht?
 
Zurück
Oben