Loginsystem mit Versuchsbeschränkung

The Scout · 5. Februar 2013

Heyho!
Mein Ziel: Ich möchte es so basteln, dass nach drei fehlerhaften Eingaben das Form für 15Min ausgeblendet wird. Klar, gibt Effizienteres, aber für die Seite reichts erstmal und ich kann mir was besseres überlegen.
Mein Problem: Bisher baut sich die gesamte Seite nicht auf, da

Zitat von php.net

Hinweis: Alle eingetroffenen Signale werden erst ausgeliefert, wenn die Ausführung fortgesetzt wird.

Steht zwar nicht direkt bei sleep(), scheint aber auch dafür zu gelten.
Womit kann ich das also ersetzen?

Das bisherige Skript.

PHP

<?php
if(!isset($i)){ $i = 1; }
while ($i <= 3) { ?>
<form action="<?php $_SERVER["DOCUMENT_ROOT"]; ?>/index.php" method="post">
    <span style="float: left; padding-right: 5px;">Nutzername:<br />
        Passwort:</span>
    <span><input type="text" name="user" value='<?php if ( isset( $user ) && $user == "Pfadi" ) {
            echo $user . "' />";
        } elseif ( !isset( $user ) ) {
            echo "' />";
        } else {
            echo "' /> <p class='warning' style='display:inline'>Falscher Nutzer!</p>";
        }




        ?><br />
        <input type="password" name="pass" />
        <?php if ( isset( $user ) && $user == "Pfadi" ) {
            echo "<p class='warning' style='display:inline'>Falsches Passwort!</p>";
        }




        ?><br />
        <input type="submit" value="Login" /></span>
</form>
<p><?php echo $i; ?>/3 Versuchen.</p>




<?php
    $i++;
    sleep(180);
    }
        $min = time() + ( 15 * 60 );
        echo "Es wurde die g&uuml;ltige Anzahl Einlogversuche erreicht!<br />
        Einloggen erst wieder um " . date('H:i:s',$min) . " Uhr m&ouml;glich.";
        unset( $i );
        sleep(900);
?>

Alles anzeigen

cottton · 6. Februar 2013

Du schreibst da gerade kein script für nen Webserver =)
Sieht aus, als ob Du schon in anderen Richtungen was gemacht hast.

1. Solange das PHP script nicht bis "unten" durch gerannt ist, passiert auf dem Bildschirm nix. (stimmt so nicht ganz anber muss erst mal reichen)
2. Beim nächsten Seitenaufruf (user gab falsches PW) sind Deine Variablen (zB $i) weg. Du brauchst etwas anderes, was Dir die Werte Speichert -> zB $_SESSION['anzahl_versuche'] = ...
3. Das while funktioniert nicht wie du denkst. Wie bei 1. beschrieben -> das script rennt alles durch und gibt dann erst die Webseite (Inhalt) aus.
4. Vergiss sleep für dieses Vorhaben. sleep lässt dein script "schlafen". Also auch wieder keine Ausgabe auf dem Bildschrim solange das script nicht abgearbeitet wurde.

Hier gehts um $_SESSION: http://www.php-kurs.com/session-anwenden.htm

Und hier ein Bsp für ein einfaches LoginScrit: http://www.php-kurs.com/loesung-einlogg-script.htm

=)

The Scout · 6. Februar 2013

Das Skript ist nur der relevante Part und nicht das komplette Skript. Ein- und- Ausloggen klappt schon, ich will es nur schaffen, dass in diesem Bereich die Versuchsanzahl geprüft und bei zu häufigem falsch das Login geblockt wird.

1. Das hab ich auch gemerkt
2. Mit Session hab ich auch überlegt und inzwischen eingebaut.
3. Wie bei 1. gesagt: Hab ich auch schon gemerkt ;). Was würdest du denn statt dessen vorschlagen? if?
4. sleep hab ich schon verworfen (s. 1. u. 3.), soll ich da auch Session nehmen?

Was ich jetzt noch brauche ist die zeitliche Beschränkung, bzw. eine andere gute Idee.
Grundüberlegung:
- Alle der Jugendgruppe kriegen den gleichen Nutzernamen + PW
- D.h. ich kann nicht einfach eine Mail zum reaktivieren senden lassen -> müsste ja die IP sperren und an den Admin (mich) senden, ich müsste die aus der Gruppe fragen wer die IP hat, die haben keine Ahnung, wo man die herkriegt -> Blöde Idee
- Also muss ich einen anderen Schutz finden, der nur für den einen greift. Kann man eine IP temporär sperren? Oder hat wer eine bessere Idee?

=)

cottton · 7. Februar 2013

3. $_SESSION['fehlversuche']++;
In der Session mitzählen lassen. Oder im Cookie. Aber ich denke Session ist einfacher, wenn Du Dich jetzt nicht noch um Cookies kümmern möchtest.

Zur Zeitbegrenzung - schwierig. Also eigentlich nicht. Aber ich weiss ja jetzt nicht in wie weit Du mit PHP bist.
Was mir auf Anhieb einfällt:
- per javascript die Eingabefelder für eine bestimmte Zeit deaktivieren (kann man ja aber umgehen)
- die Zeit in einer Session merken -> wenn Eingabe falsch dann $_SESSION['zeit_wenn_loginversuch_wieder_möglich'] = time()+180;

Natürlich setzt Du dann eigene, kürzere namen
Im script fragest Du dann ab:

PHP

if(isset($_SESSION['zeit_wenn_loginversuch_wieder_möglich']))
{
    if($_SESSION['zeit_wenn_loginversuch_wieder_möglich'] < time())
    {
        // nicht möglich
    }
    else
    {
        // wieder möglich
    }
}
else
{
    // keine session da, also möglich
}

Alles anzeigen

Weiss allerdings nicht, wo eine Zeitbegrenzung was bringt.

Warum bekommen denn alle den gleichen Login?
Für den Fall Du willst mehrere Nutzer abgleichen (name,PW) nimm einfach ein Array:

PHP

$user['gruppe_1'] = array(
    'klaus' => array(
        'name' => 'klaus123',
        'passwort' => '123456'
    ),
    'hans' => array(
        'name' => 'hans123',
        'passwort' => '848684'
    ),
);




foreach($user['gruppe_1'] as $key => $user)
{
    if($user['name'] == $richtiger_name and $user['passwort'] == $richtiges_passwort){
        // login ok
        break; // aus der foreach schleife raus
    }
}

Alles anzeigen

Die IP vom user bekommst Du über: $IP = getenv("REMOTE_ADDR");

Basi · 8. Februar 2013

Ich schätze du suchst grundlegend in etwa so etwas hier:

PHP

<?php




  session_start();




  # Sperrzeit in Sekunden (900sek = 15 Minuten)
  $timeDenied = 900;
  # Maximale Versuche
  $maxTrys = 3;




  # Auswerten der Versuche, wenn über $maxTrys
  # $_SESSION['denied'] setzen und Versuche
  # zurücksetzen
  if(isset($_SESSION['trys']))
    if($_SESSION['trys'] >= $maxTrys){
      $_SESSION['denied'] = time()+$timeDenied;
      unset($_SESSION['trys']);
    }




  # Prüfen ob Wartezeit abgelaufen ist
  if(isset($_SESSION['denied']))
    if($_SESSION['denied']-time() <= 0)
      unset($_SESSION['denied']);




  # Anmerkung: hier kann für die if Anweisung
  # auch die Blockschreibweise {} genutzt werden
  # ich finde diesen Weg allerdings wesentlich
  # übersichtlicher, vor allem da das PHP Skript
  # für die Formularausgabe unterbrochen wird




  # Prüfen ob Formular angezeigt werden darf
  if(isset($_SESSION['denied'])):
    # Optionale Ausgabe der verbleibenden Wartezeit
    print "Formular f&uuml;r ".ceil(($_SESSION['denied']-time())/60)." Minuten gesperrt.";
  else:







?>




  <form action="" method="get">
    <input type="text" name="inputText" />
    <input type="submit" name="inputSubmit" value="Senden" />
  </form>




<?php




  endif;




  # Auswertung des Formulars, nur zur Demonstration
  if(isset($_GET['inputSubmit']))
  {
    # Wenn ein Text eingegeben wurde wird dieser ausgegeben,
    # ansonsten werden die Angaben als fehlerhaft interpretiert
    # und die Anzahl der bereits getätigten VErsuche
    # wird erhöht
    if(!empty($_GET['inputText']))
      print "Benutzereingabe: ".$_GET['inputText'];
    else
      if(isset($_SESSION['trys']))
        $_SESSION['trys'] = $_SESSION['trys'] + 1;
      else
        $_SESSION['trys'] = 1;
  }




?>

Alles anzeigen

Falls nicht kläre mich bitte auf, ich habe jetzt nicht alles gelesen was ihr geschrieben habt

The Scout · 9. Februar 2013

So ungefähr, aber wenn das einer sperrt dann kann sich ja keiner mehr einloggen

Ich will nur ein Nutzer + PW haben, weil das ein Bereich für den gesamten Pfadfinderstamm ist, für den ich die Seite schreib. Da braucht keiner irgendwas spezifisches, sondern jeder hat die gleichen Rechte und kann das Gleiche einsehen. Darum gleicher Nutzer + PW, weil ich dann weniger Arbeit habe

Aus diesem Grund muss ich das irgendwie anders regeln, also per IP-Sperre oder Cookie, damit es Spezifisch greift. Zur Not kann man es auch so machen, dass es dauerhaft gesperrt wird und sich die Leute an mich wenden müssen, um wieder entsperrt zu werden . Temporär wär mir aber lieber.

Also, ungefähr sowas wie Basiis, nur keine generelle, sondern eine spezifische Sperre.
Eine Idee von mir war, die IP auszulesen und mit der Wieder-Freigabe-Zeit zusammen in ne MySQL (SQLite)- Table schreiben zu lassen. Diese wird dann jedesmal geprüft, wenn einer den Login aufruft und IPs, wo die gespeicherte Zeit erreicht wurde, werden wieder gelöscht.
Ich denke mal, dass das möglich wäre, jetzt stellt sich mir allerdings die Frage: WIE?

Basi · 9. Februar 2013

Ich glaube du verstehst das Prinzip falsch, wenn jemand sich 3 mal falsch anmeldet und somit die Session gesetzt wird kann sich nur dieser Benutzer nicht mehr einloggen.

Sessions laufen nicht benutzerübergreifend sondern sind eine private Angelegenheit zwischen Webserver und dem spezifischen Surfer.

Wenn du dich hier im Forum anmeldest wird dir auch eine Session zugewiesen, das heißt aber nicht das jeder der die Seite benutzt angemeldet ist und in deinem Namen schreibt.

Des Weiteren bleibt die Frage wofür du die Anmeldeversuche beschränken möchtest:

1. Schutz vor Bots: Ein (guter) Bot wird sowieso jeden Versuch mit einer neuen IP beginnen, von daher nicht effektiv.

2. Schutz vor Möchtegern-Script-Kiddies: Eine Kombination aus Benutzername und Passwort mit einer Länge von jeweils 5 Zeichen, nicht bestehend aus Wörtern und eine Kombination aus Zahlen, Buchstaben und anderen Zeichen würde solch eine Person niemals durch ausprobieren herausfinden, außerdem kann ein Mensch ein Formular gar nicht so schnell ausfüllen und absenden das es zu Problemen bei der Serverauslastung kommen würde.
Selbst ein Bot würde für solch eine Kombination übrigens mehrere Wochen/Monate brauchen.

The Scout · 10. Februar 2013

Ich dachte, die Session läuft übergreifend und Cookies wären spezifisch?
Wenn die Session auch spezifisch ist, wäre sowas wie oben ja ausreichend.

Nene, das soll nur ein Schutz vor zB kleinen Geschwistern sein, dass die sich nicht mal denken "Ui, großer Bruder nich da, spielen wir doch mal WebsiteAdmin!" oÄ.
Das durch fehlerhafte Eingabe der Login zeitweise gesperrt wird und der Bruder so den Möchtegernhacker wieder verteiben kann.

Man glaubt gar nicht, wie oft sowas schon erzählt wurde

Basi · 10. Februar 2013

Sessions werden vom Server verwaltet und sind für den Benutzer (kaum) manipulierbar (das setzt sehr viel Wissen voraus).

Cookies werden vom Browser verwaltet und können somit vom Nutzer eingesehen und verändert werden.

Loginsystem mit Versuchsbeschränkung

Jetzt mitmachen!

Teilen