Wie mach ich ein sicheres Login system in Java?

Mir ist schon klar wenn ihr jetzt eures Preisgebt das es dann nicht mehr sicher wär. Aber so ein par sachen die ich beachten muss oder code schnipsel... Also wie ich es gemacht hätte: Java geht mit ner UrlConnection auf eine website sagen wir www.test.de/login.php?user=test&pw=123&hwid=111 und das pho script prüft erstmal mysql injection und geht dann auf eine mysql datenbank und gleicht das ganze ab und gibt ein statement zurück das in java dann geprüft wird, falls du jetzt nicht genau weist wie ich es mein nochmal kommentieren! Also was könnte ich noch verbessern oder ist der ansatz komplett schlecht ? Lg ~Michael

4 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

Tuxgamer2

03.07.2017, 19:48

Mir ist schon klar wenn ihr jetzt eures Preisgebt das es dann nicht mehr sicher wär.

Falsch.

Wenn dein Login-System auf "security by obscurity" beasiert, ist es richtig schlecht und sehr bedenklich.

Habe aber auch ein paar ganz grundsätzliche Hinweise:

https verwenden

http ist Thema Sicherheit einfach Müll. Aus mehreren Gründen.

Passwort hashen

Solltest niemals im Klartext Passwörter übertragen. Und auch nie Passwörter im Klartext in der Datenbank speichern.

Mit Authentifizierungs Token arbeiten

"das in java dann geprüft wird, " - kannst du dir sparen. Ein Java-Programm zu hacken und so eine Prüfung zu entfernen ist trivial.

Viel mehr solltest du einen Token zurückliefern, den du bei jedem künftigen Request mitsendest. Und Serverseitig überprüfst.

Authentifizierung nie clientseitig.

Und nun das wichtigste:

So etwas gar nicht selber implementieren.

Und immer zuerst Google fragen, ob es denn nicht etwas fertiges gibt. Habe keine persönliche Erfahrung, aber was spricht denn z.B. gegen so etwas (2 Minuten Google):

http://www.openrepose.org/

Gruß

Tuxgamer

thefungamer

03.07.2017, 16:06

Hey der Ansatz ist schon richtig. Du kannst so dann die einzelnen Funktionen mit einem Passwort schützen, welches für jeden Nutzer in der Datenbank hinterlegt ist. Bei einer Abfrage in Java kannst du dann über ein PHP Script entweder true oder false zurückgeben je nachdem, ob das Passwort richtig oder falsch ist.

thefungamer

03.07.2017, 21:59

ja, obfuscation bringt bei Java nur bedingt was. Aber die Serverseite ist ja Serverseitig programmiert und daher nicht vom Nutzer sichtbar.

Miki2015

Beitragsersteller

03.07.2017, 16:12

So wollte ich es eig auch machen und danach noch alles obfuscaten

Niklas

Nutzer, der sehr aktiv auf gutefrage ist

im Thema HTML

03.07.2017, 20:24

Besser wäre, du würdest mit PHP arbeiten und die Login-Daten sicher (SSL-verschlüsselt; via PHP-Klasse; gehashed), aus einer Datenbank laden und mit den eingegebenen vergleichen.

Woher ich das weiß:Berufserfahrung – Software Engineer

Kieselsaeure

Nutzer, der sehr aktiv auf gutefrage ist

im Thema programmieren

04.07.2017, 10:25

Vorab: ich kann kein java aber will dir dennoch ein paar dinge sagen.

1. Die daten per GET zu übertragen ist eine blöde Idee. Verwende lieber POST

2. Du solltest https verwenden (da macht sich punkt 1 bemerkbar. Sonst da du keinen browser verwendest wärs egal wenns keine history gibt). Denk dran nicht einfach irgendeine cipher suite zu wählen bzw mehrere sondern schon nur die, die noch als sicher gelten.

3. Die sicherheit auf der basis das keiner den code kennt zu setzen ist eine blöde idee. Es kann den reverse engeneering prozess verzögern aber macht es nicht unbedingt vollautomatisch sicherer.

Ähnliche Beiträge

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zum Beitrag

Wo findet man kleinere Programmieraufträge?

Hallo,

ich wollte mal fragen, wo man im Internet nach kleineren Programmieraufträgen suchen könnte.

Ich bin gerade Informatik-Student und möchte mir etwas selbstständig dazuverdienen.

Meine Kenntnisee sind PHP und MySQL, HTML; Java, Android-basierte Software.

...zum Beitrag

Daten aus MySQL Datenbank per Java abfragen?

Hallo, ich wollte mal fragen, ich habe zb ne ganz simple Datenbank in MySQL mit einer Table.

Jetzt habe ich zB noch eine File.java und in der würde ich gerne zufällig aus dieser Datenbank, Row auswählen und printen, geht sowas?

und wenn wie geht sowas genau?

...zum Beitrag

Hostname und Port für Datenbankzugriff von Java auf mysql (Strato)

Hallo, ich möchte mit Java auf meine MySql Datenbank zugreifen (liegt bei Strato), nur bekomme ich die Verbindung nicht richtig aufgebaut.

DriverManager.getConnection("jdbc:mysql://" + dbHost + ":" + dbPort + "/" + database + "?" + "user=" + dbUser + "&" + "password=" + dbPassword);

Das Problem ist das ich nicht weiß was ich als dbHost und dbPort angeben muss habe schon viel probiert aber bin immer wieder gescheitert vielleicht hat ja einer ne passende Antwort. Besten Dank im Voraus.

Gruß

...zum Beitrag

MySQL Timeout?

Hey, ich bekomme in meinem Java Discord Bot immer nach 8 Stunden diese Fehlermeldung trotz autoReconnect im Link kann mir da eventuell mir jemand bei helfen?

Hier der Fehler: https://pastebin.com/XQ2twNuG

...zum Beitrag

Technische Kenntnisse im Lebenslauf auflisten

Ich arbeite gerade meinen Lebenslauf aus und frage mich, wie ich meine technischen Kenntnisse am besten auflisten soll? Soll ich für jede Programmiersprache, Modeliersprache, etc. eine neue Zeile benutzen und dahinter jeweils "sehr gut", "gut" schreiben? In etwa so:

Java - sehr gut

C/C++ - gut

Python - gut

UML - gut

HTML - Grundkenntnisse

mySQL - Grundkenntnisse

etc.

Oder soll ich sie lieber folgendermaßen zusammenfassen:

Java - sehr gut

C/C++, Python, UML - gut

HTML, mySQL - Grundkenntnisse

Kann man nach 3 Jahre Studium bereits von "sehr guten" Java-Kenntnissen sprechen? Oder sollte ich lieber Formulierungen wie z.B. "fortgeschritten" verwenden?

Und ist es nötig als angehender Informatiker Kenntnisse in Windows, Linux, Microsoft Office, Microsoft Excel, etc. anzugeben? Ich nehme an, dass Kenntnisse in diesen Bereichen ohnehin vorausgesetzt werden?

...zum Beitrag

Java Strato Mysql Datenbank

Hallo,

ich habe ein Problem mit dem Zugriff von Java aus in die Strato Mysql Datenbank. Mit PHP kann ich drauf zugreifen. Ich habe die Vermutung, dass Strato kein Zugriff außerhalb zulässt.

Java Datenbank Code:

    public class EasyDbConnector {

  private static Connection conn = null;

  // Hostname
  private static String dbHost = "rdbms.strato.de";

  // Port -- Standard: 3306
  private static String dbPort = "3306";

  // Datenbankname
  private static String database = "DBXXX";

  // Datenbankuser
  private static String dbUser = "UXXX";

  // Datenbankpasswort
  private static String dbPassword = "XXX";

  private EasyDbConnector() {
    try {

      // Datenbanktreiber für ODBC Schnittstellen laden.
      // Für verschiedene ODBC-Datenbanken muss dieser Treiber
      // nur einmal geladen werden.
      Class.forName("com.mysql.jdbc.Driver");

      // Verbindung zur ODBC-Datenbank herstellen.
      // Es wird die JDBC-ODBC-Brücke verwendet.
      conn = DriverManager.getConnection("jdbc:mysql://" + dbHost + "/" + database + "?" + "user=" + dbUser + "&"
          + "password=" + dbPassword);
    } catch (ClassNotFoundException e) {
      System.out.println("Treiber nicht gefunden");
    } catch (SQLException e) {
      System.out.println("Connect nicht möglich");
    }
  }

usw.

Der Treiber ist richtig installiert. Ich bekomme immer eine Exception "Connect nicht möglich"

Kann mir da jemand helfen?

MfG

...zum Beitrag

Hilfe Virenwebseite?

Ich wollte google.com öffnen unf habe mich vertippt und habe googe.com geschrieben und gelffnet. Ich habe die Website Url bei einem Website Safety Check gepürft und da stand dass die Webseite gefährlich sei. Ich habe befürchtungen auf ein Virus oder ein Drive-by-Download. Könnte ihr mir helfen oder ist das möglich durch betreten Webseite? Könnte vielleicht jemand der Ahnung hat mit einem Scriptblocker nachschauen?

...zum Beitrag

Java Projekte für Fortgeschrittene?

Yo hab da mal ne Frage.

Ideen für Projekte? Bin schon Fortgeschritten mir fehlt nur die Kreativität.
Kann ruhig mit MySQL sein.

...zum Beitrag

PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zum Beitrag

MySQL-Verbindungen auch über HTTPS verschlüsselt?

Hallo Gutefragler,

Ist eine in die Webseite intergrierte MySQL-Datenbankverbindung durch HTTPS ebenfalls verschlüsselt, oder wäre es sinnvoll für MySQL extra eine SSL-Verschlüsselung einzurichten um die Datenströmung zu verschleiern?

...zum Beitrag

Warum ist TikTok noch nicht verboten?

ByteDance entwickelt Tiktok. Eine Chinesische Firma die Millionen von Daten sammelt..

Wie zb. Zugriff auf Kontaktlisten , Standortdaten, Speichern von Geräteinformationen, lesen von kopierten Texten , Zugriff auf alle Datein/Bilder auf dem Gerät, Ständigen Mikrofon und Kamera Zugriff

In der Datenschutzrichtlinie von TikTok heißt es außerdem, dass das Unternehmen Ihre Telefonnummer, Ihr Alter, Ihren Such- und Browserverlauf sowie Informationen darüber sammelt, was in den von Ihnen hochgeladenen Fotos und Videos enthalten ist

Warum sind solche Apps in der heutigen Zeit erlaubt?

...zum Beitrag

App Programmierung(Android) Java Datenbank Anbindung über das Internet?

Hallo.

Ich muss eine App in Java programmieren. Dafür wollte ich wissen, wie ich am einfachsten den Zugriff auf eine MySQL Datenbank mache, wenn die auf einem externen Server läuft zu dem ich die Domain aber nicht die IP Adresse habe.

Kann mir dabei jemand helfen?

Freue mich schon auf eure Antworten

...zum Beitrag

MySQL (PHPMyAdmin) abfragen in Xcode & Java?

Hallo, ich suche nach einer Methode wie eine von einer MySQL Datenbank etwas in Xcode mit Swift abfragen kann und auch mit Java in IntelliJ zumbeispiel von einem MinecraftServer ein Geldbetrag den ich dann auf Website und Handy abfragen kann. Eine Datenbank habe ich mit diesen Daten ich weis nur nicht wie ich das abfrage und wenn, wie mache ich es sicher das es keiner abgreifen kann?

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen