webthreads.de - Web 2.0, Web-Entwicklung und Netzkultur von Markus Kühle
« webthreads.de als DNA
Programmiersprachen Trends »

Login Abfrage via Ajax

Ajax ist kann in vielen Web Komponenten enthalten sein, warum also nicht bei einer Login Komponente. Bisher wurde dieses Thema recht differenziert beurteilt und daher bestehen zu der Frage ob es Sinnvoll ist bei einem User Login Ajax zu verwenden immer mehrere Antworten. Ich würde sagen, dass es durchaus sinvoll sein kann Ajax zu verwenden. Wenn man ein paar Dinge, vor allem bei der Sicherheit beachtet, hat die Ajax Variante sogar Sicherheitsvorteile.

Da sind wir auch schon beim Thema: Sicherheit. Der Grund für die kontroverse Beurteilung dieses Themas ist, dass man leicht mit Ajax die schon vorhandene Browser Sicherheit bei Login Abfragen aushebeln kann.

Bei der Authentifizierung via Browser bestehen mehrere Möglichkeiten. Die beiden gängisten Vorgehensweisen sind HTTP Basic Authentication und Form Bases Authentication.

HTTP Basic Authentication

Die erste Möglichkeit bringt der Browser mit und ist die HTTP Basic Authentication. In diesem Fall sendet der Server einen 401 Response (Unauthorized) und der Browser reagiert darauf indem er die User id und das User Passwort abfragt. Diese werden dann base64 enkodiert an den Server zurückgesendet. Sind die Angaben dem Server bekannt und hat der User sich somit mit korrekten Daten eingeloggt wird die eigentlich angefordertet Resource vom Server zurückgegeben. Eine Beschreibung wie man eine solche Authentifizierung mit dem Apache Webserver konfigurieren kann findet sich bei der offiziellen Apache Dokumentation.

HTTP Basic Authentication

(Bild von: Sun J2EE Tutorial – Security)

Form Based Authentication

Da die Basic Authentifizierung die eigentliche Seite erst anzeigt wenn die Daten korrekt eingegeben wurden verwenden viele Seiten eine Form Based Authentication anstatt der Basic Authentication. Diese hat den Vorteil, dass die eigentliche Seite in ihrem Design schon vorliegt. Man bewegt sich also schon im “Kontext” der Seite. Auf der Seite gibt man dann in einem Formular die Login Daten ein, diese werden mit einem Submit an den Server übertragen und dort mit den vorliegenden Daten überprüft. Sind die Daten korrekt wird ein Flag in der Session gesetzt und der User kann auf die ihm nun verfügbaren Seiten zugreifen. Bei einem erfolgreichem Login wird man auf die angeforderte Seite weitergeleitet und bei einem Fehler auf die Fehler Seite. Das ganze muss allerdings Serverseitig selbst implementiert werden wenn die Sprache oder Umgebung nicht schon eine Unterstützung mitbringt. Bei einer J2EE Umgebung kann z. B. der j_security_check genutzt werden.
Bei dieser Variante muss beachtet werden, dass die Logindaten verschlüsselt übertragen werden (https) denn per default werden sie plain Text bei dem Submitten des Formulars übertragen und erst Serverseitig in ein bestimmtes Hash zum überprüfen umgewandelt. Dieser Hashwert muss dann mit dem gespeicherten Hashwert für das korrekte Passwort übereinstimmen. Wer die Passwörter generell plain Text in einer DB abspeichert sollte das schleunigst ändern.

Form Based Authentication

(Bild von: Sun J2EE Tutorial – Security)

Ajax Authentication

Nun aber zu Ajax. Wie kann man die Login Methoden mit Ajax in Verbindung bringen. Grundsätzlich ist die Ajax Variante gleich der Form Bases Authentication. Man hat ein Formular indem die Login Daten eingegeben werden, die Daten werden via XmlHttpRequest (XHR) an den Server übertragen, überprüft und eine entsprechende Antwort zurückgesendet. Nur gibt es generell ein paar Dinge bei dieser Variante zu beachten. Zum einen natürlich die Übertragung der Daten. Wenn nichts geändert wird werden die Daten als plain Text übertragen und sind somit abhörbar. Die erste Lösung ist natürlich wieder HTTPS zu verwenden, welches die Sicherheit wieder von Haus aus mitbringt und man sich um nichts selbst kümmern muss. Da viele Seiten allerdings kein HTTPS verwenden wollen oder können muss eine andere Lösung her.

Die Antwort heisst hier: Das Passwort wird schon im Browser in ein Hash umgewandelt. Das hat den Vorteil, dass die Daten nicht mehr unverschlüsselt, also plain Text, übertragen werden. Jetzt kommt allerdings das Problem, dass die schon verschlüsselten Daten abgehört und wiederverwendet werden können. So kann man die Daten nutzen um sich einzuloggen ohne das Passwort wirklich als lesbaren Text zu kennen. Um dieses Problem zu lösen kommt nun eine neue Variante ins Spiel. Der Server generiert serverseitig ein einmaliges Token mit zufälligen Zeichen (im englischen wird hier oft von einem “Seed” gesprochen). Dieses Token wird anschließend im Browser verwendet um das schon gehashte Passwort noch einmal ein eine neues Hash umzuwandeln. Die Daten werden anschließend an den Server übertragen. Das in der Datenbank gespeicherte Passwort-Hash wird nun auch mit dem Token in ein neues Hash umgewandelt und mit dem vom Browser übertragenen Wert verglichen. Stimmen die beiden Hashwerte überein sind auch die eingegebenen Daten korrekt und der User hat sich authentifiziert.
Wichtig bei dieser Vorgehensweise ist, dass das Token immer nur ein einmaliges Token ist. Bei jeder Anfrage wird das Token neu generiert und ist nur für einen Versuch gültig. So kann ein abgehörtes Hash, was im Browser generiert wurde, nicht noch einaml verwendet werden.

Ajax Acegi Login

Das schöne bei einer Ajax Authentifizierung ist, dass sie in vielen Fällen sogar sicherer ist als die sonst verwendete Form Based Authentication. Viele Seiten verwenden nämlich kein HTTPS und somit werden die Daten immer unverschlüsselt übertragen. Bei der Ajax Variante werden die Daten schon im Broswer verschlüsselt und man kann das normale HTTP Protokoll verwenden.
Zudem bleibt man im Kontext seiner Seite. Vor allem bei einer falschen Eingabe ist diese Variante sehr angenehm, da man den Fehler direkt angezeigt bekommt ohne eine neue Seite laden zu müssen.

Diese hier beschriebene Variante ist bei ajaxpatterns.org unter dem Pattern Name “Direct Login” beschrieben. Dort wird auch gleich noch ein wenig Code als Beispiel presentiert.
Ein funktionierendes Live Beispiel zu der Direct Login Variante kann bei JamesDam.com gefunden werden (User: user1 / Passwort: pass1). Der Source Code für dieses Beispiel steht auch zu Verfügung und serverseitig wurde php als Sprache verwendet.

Als letzten Punkt noch ein Hinweis auf ein schönes Tutorial von Sanjev Jivan wie man ein Ajax Login mit Acegi realisieren kann. Acegi ist ein Autorisierungs und Authentifizierungs Modul für Spring. Das Problem für ein Ajax Login ist, dass Acegi, wie bei einer Form Based Authentication üblich, immer ein Redirect auf eine neue Seite machen möchte. Das Verhalten muss natürlich unterbunden werden und dazu sind einige Schritte notwendig (Orignal HttpReqeust abfangen – eigens /j_acegi_security_check Servlet Mapping einbinden, eigenen Request weiterleiten und den Redirect abfangen …). Diese Schritte werden in dem Tutorial erläutert.

Fazit

Ich persönlich finde die Ajax Login Variante sehr elegant und würde/werde sie einsetzen. Die beschriebene Ajax Login Vorgehensweise ist sogar noch wesentlich sicherer als viele schon implementierte Form Based Authentications, da viele auf HTTPS verzichten und somit das Passwort unverschlüsselt über die Leitung geht.

Allerdings muss man natürlich beachten, dass nicht jeder Browser das XmlHttpRequest Objekt unterstützt und somit sollte man eine Alternative bereithalten. Man möchte ja nicht schon durch die alleinige Verwendung eines alten Browsers jemanden von seiner Plattform ausschließen ;)
Auch die Wahl des Algorythmuses zum Verschlüsseln des Passwortes im Browser mit JavaScript (z.B. md5) sollte genau begutachtet werden.

Für die Sicherheitsfanatiker unter uns die Anmerkung: der geneigte Webseitenersteller, der eine absolut sichere Login Variante haben möchte, der sollte seinen Usern vorab eine Karte mit Zertifikat, Token und Daten sowie ein passendes Lesegerät verteilen. Das Passwort für die Karte muss natürlich auch übertragen werden… (für weitere Informationen zu diesem Thema hier ein schöner Artikel mit dem Titel “Online-Banking der Zukunft ist sicher vor Phishing” – pdf Format)

Von: Markus Kühle | 22.08.2006 | Ajax - Security | Trackback | Kommentare [RSS 2.0]

Ähnliche Artikel, die dich interessieren könnten:

    None Found

4 Kommentare zu 'Login Abfrage via Ajax' »»


Kommentare

  1. Anonymous
    Kommentar by Anonymous | 06.12.2007 at 15:58:46

    Man übrigens auch einen HTTP Basic Authentication-Login in der Website einbetten. Dafür ist dann Javascript nötig, welches dann die passende URL generiert: https://Benutzer:Passwort@Server.com/backend
    Wär kein Javascript hat sieht dann keine Eingabefelder klickt auf Login und die Seite https://Server.com/backend fordert dann das Passwort nach dem HTTP-Standard.

  2. fangerin
    Kommentar by fangerin | 17.04.2008 at 16:14:42

    ich habe eine Frage, ob dieses Sicherheitsprogramm auch in Safe Mode funktioniert?
    Vor kurzem habe ich authention, abylon, natural login und ähnliche Programme getestet, und

    habe mich zum Schluss doch für Rohos Logon Key entschieden, denn sie haben

    nochNotanmeldung, falls man den USB Schlüssel verliert, und den Safe Mode Schutz, d.h. man

    kann den Schutz von USB Schlüssel nicht ausweichen.

  3. Slut-Hunter
    Kommentar by Slut-Hunter | 25.04.2010 at 18:20:38

    *LOL*

    Das ist doch lächerlich, jetzt redet mal einer der seit 6 Jahren Bruteforcen tut.

    Form und OCR Logins sind das uneffektivste was es überhaupt gibt, 95% aller Form/OCR Sites verfügen
    nicht über nenn Proxy Blocker weil es zu viel Aufwand ist.

    Bei nem htaccess ist ein Proxy Blocker sehr leicht realisierbar, und Proxy Blocker sind neben Servergenerierten Passes
    der Effizienteste SChutz überhaupt.

    Das was du da beschreibst ist nichts anderes als ein banaler Form Login, mit einer Variable, und statt

    GET(um die variable und session id zu kriegen) -> POST (sessionid im header versenden,in die postdata user+pw+variable klatschen)

    Wird einfach POST statt GET direkt am Ajax Script ausgeführt mit nem

    X-Requested-With: XMLHttpRequest

    Im Header, und schon hat man die Variable die man braucht, und die versendet man dann einfach per Post

    Im Grunde der selbe unneffektive Müll.

    Es gibt zig FORM und OCR Bruteforcer, die ne auto detection für Form Logins haben
    ,auch welche die mit ssl und zig Variablen umgehen können, und auch einen für Ajax, und welche
    wo man wählen kann wie man die variable erhalten will, und den Output Header anpassen kann.

    So viel zu deinem Spülmittel Login.

    *LOL*


Trackbacks & Pingbacks »»

  1. webthreads.de » Tipps über Sicherheit von Yahoo!
    Pingback by webthreads.de » Tipps über Sicherheit von Yahoo! | 11.09.2006 at 21:31:07

    [...] Erst kürzlich über Ajax Login und die Sicherheit berichtet weil der Aspekt Sicherheit bei der Entwickling von Web Anwendungen doch leicht mal vergessen wird. Um so erfreulicher ist es wenn man zu dem Thema nützliche Informationen findet. So wurde auf dem Yahoo! Developer Network Blog berichtet, dass eine neue Kategorie in dem Developer Central Bereich eröffnet wurde die sich um die Sicherheit bei Anwendungen dreht. [...]

Hinterlasse ein Kommentar »»

Creative Commons License
OpenWishes - Wünschen. Schenken. Erinnert werden.
webthreads.de is proudly powered by WordPress
desgin based on theme: equiX

Bad Behavior has blocked 1501 access attempts in the last 7 days.