psz-graphics

schulz@flugschreiber

1227228445

...blinkt es mich aus meinem T30 an. T30 deshalb, weil das eigentlich bestellte T23 schon im Versandhandel zu Bruch ging. Der sehr kulante Händler hat mir stattdessen ein T30 (1,8GHz, 38GB, 256MB) angeboten. Abergernedoch.
Der Akku scheint einen Schlag zu haben, denn ACPI zeigt dann, dass die Prozente sehr schnell fallen, aber bei 5% noch eine knappe halbe Stunde stehen bleiben. Naja.
Entschieden hab ich mich (wie schon bei meinem Desktop) für das schlankere ArchLinux. Bis auf das W-LAN funktioniert das ganze ja recht schön und ist mit OpenBox auch noch ressourcensparend.
Die Installation des Systems via USB-Stick funktioniert gut und einfach und toll.
Wie ich das Wireless-Problem lös, werd ich noch irgendwie rausfinden... Bis dahin schreib ich mir kleine unsinnige Skripte fürs ThinkLight. Und das ist verdammtnochmal Spaß!

Notenbuch

1225490218

Yay!
Heute war es soweit. Über die Bucht hat sich ein nettes ThinkPad auf den Weg zu mir gemacht.
Und bis es da ist, wird entschieden ob ArchLinux oder Debian installiert wird

Wieder Da

1224439728

Seit ein paar Tagen gibts Internet in der WG.
Wie doch ein Computer an Wert verlieren kann, wenn man ihn seines Internetanschlusses beraubt. Meine Singeplayerspiele hatten eine richtige Rennaissance... Naja.

Außerdem gibts neue Bilder. Frisch aus Dresden (tolle Stadt).

Vier oder fünf Wochen

1220267415

Umzug nach Dresden ist abgeschlossen, Ausbildung angefangen und alles. Joa. Nur Internet gibts in der WG noch nicht.
Naja.
Bis dahin muss eben die neue Schule herhalten.
Bis denn

Gewalt ist keine Lösung

1218459171

Nach einer kleinen Unterhaltung über Sicherheit im Web gestern mit einem Freund, habe ich beschlossen, für mein Loginscript hier noch einen Brute-Force-Schutz nachzurüsten.
Brute Force ist die Methode, jede mögliche Zeichenkombination für Login-Namen und Passwörter durchzuprobieren, bis man die richtige hat. Die Schwäche dieser Methode ist der Zeitaufwand dabei. Und um die Möglichkeit eines Brute-Force-Erfolges zu minimieren, wird genau diese Schwäche ausgenutzt.
Wir schalten eine Zeitsperre zum Loginscript, die den Login nach einer falschen Eingabe verhindert.
Dazu benötigen wir ersteinmal eine neue MySQL-Tabelle: "antibf".

CREATE TABLE `antibf` (
`id` int(11) NOT NULL auto_increment,
`ip` varchar(15) NOT NULL,
`date` int(10) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=2;

In das Feld ip speichern wir dann die IP des bruteforcenden Clients und date Hilft uns, die
Zeitsperre zu berechnen.

Da ich den Codeschnipsel für mich geschrieben hab, müsst ihr mal schauen, wie ihr das in euer eigenes Login-Script reinbekommt.
Wenn der erste Login fehlschlägt, also falsche Daten eingegeben werden, muss das in der Datenbank abgespeichert werden.

if ($login == FALSE)
{
mysql_query("UPDATE antibf SET date = '".time()."', ip = '".$_SERVER['REMOTE_ADDR']."' WHERE id = 1 LIMIT 1");
}

Bei weiteren Login-Versuchen werden die Daten dann verwendet, um den Clienten abzublocken.

$selectbf = mysql_query("SELECT * FROM antibf");
$antibf = mysql_fetch_array($selectbf);
if ($_SERVER['REMOTE_ADDR'] != $antibf['ip'] || ($antibf['date'] + 180) < time())
{
//LOGIN
}
else
{
//KEIN LOGIN
}

Die ersten beiden Zeilen lesen den Datensatz in ein Array aus. Die folgende if-Abfrage lässt einen nur dann zum Login kommen, wenn man entweder eine andere IP als die in der Datenbank hat, oder 3 Minuten (=180 Sekunden) seit dem letzten Fehlschlag vergangen sind.

Somit muss der Brute-Force-Angreifer also nicht nur jede Kombination durchprobieren, sondern auch nach jedem Versuch 3 Minuten warten. Der so immens gestiegene Zeitaufwand macht diese Hacking/Cracking-Methode unbrauchbar.

psz-graphics ist online

1218115392

Ja genau. Ich hab es geschafft, meine Webseite nach über einem Jahr wieder online zu stellen - komplett neu designed und geschrieben.