Datenbankdaten nicht beim Client speichern?

Guten Tag,

für z.B. ein Login-System; macht es Sinn eine API für den Server zu schreiben welche ein boolean zurückgibt, ob das gehashte Passwort zum Nutzer passt. Für eine solche Art von Anfrage bräuchte ich ja dann nur die IP des Servers.

Oder gibt es einfachere Lösungen um dieses Problem zu umgehen? Im Endeffekt war das das erste, was mir bei dieser Frage in den Kopf gekommen ist.

Wie würdet ihr das Problem lösen?

5 Antworten

Mirko Marek

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Mediengestalter Digital und Print

03.02.2025, 17:31

Hi AlessandroO6,

wie schon TheQ86 geschrieben hat, gehört die Login-Validierung immer auf dem Server und sollte nur dort durchgeführt werden. Man kann vorab, bevor man einen HTTP-Request sendet mit JavaScript die Eingaben prüfen auf Fehler oder Unschlüssigkeiten, aber die Hauptvalidierung und Passwortabgleich sollte auschließlich auf dem Server basieren. Es sollte auch der Datenbank-Server auf dem Server liegen und keine clientseitige Lösung.

Und bitte daran denken Passwörter nicht im Klartext zu speichern, sondern als Passwort-Hash. Und wenn es noch Professioneller machen möchte, änderst du regelmäßig den Passwort-Hash ab.

Woher ich das weiß:Berufserfahrung – Ich bin gelernter Mediengestalter Digital und Print(IHK)

AlessandroO6

Beitragsersteller

03.02.2025, 17:36

Alles klar, also war da mein Gedankengang schon richtig. Danke.

Mirko Marek

03.02.2025, 17:41

@AlessandroO6

Gerne,

alles was Sicherheitsrelevant ist, sollte man auf dem Server laufen lassen. Zum Beispiel sollte man bei einer Bestellung nur die ID's der noch zu bestellenden Artikel übergeben und keine Preise oder Rabatte. Das soll erst auf dem Server geschehen, da sonst Daten manipuliert werden können und es spart Daten die übertragen werden müssten.

tide1109

03.02.2025, 22:51

Du willst also, dass jeder, mehr oder weniger öffentlich, Daten an den Server senden kann? Also falls es ein Spiel sein sollte ein öffentliches Scoreboard, wo sich jeder beteiligen kann.

Wenn man vor allem auch das Dekompilieren (Source Code anschauen) des Programms betrachtet, dürfte man es nie zu 100% umsetzen können. Man kann lediglich Maßnahmen ergreifen, dass es sehr schwer ist.

Zum einen ist eine API, die nur das nötige Bereitstellt, ein wichtiger Punkt. So kannst du die Operationen auf der Datenbank stark begrenzen. Im Fall vom Scoreboard gäbe es z.B. getTopScoreboard und ein addScore Operationen. Ein Editieren oder Löschen ist damit komplett weg.

Damit die API nicht einfach von jedem genutzt werden kann, sollte dort auch eine Authentifizierung per z.B. Passwort oder Token davor sein. Auch wenn es gehasht ist, wird man es bestimmt extrahieren und selber nutzen können. Der integrierte Client ist ja auch in der Lage, den Hash zu benutzen.

Für Kommunikation sollte auch HTTPS (oder ein anderes sicheres Protokoll) genutzt werden, um die versendeten Daten bei der Übertragung zu schützen.

Um das Reverse Engineering zu erschweren könntest du die versendeten Daten auch beispielsweise als Base64 encoden, damit der konkrete Inhalt nicht direkt ersichtlich ist. Andere Verfahren als Base64 werden besser sein.

Falls doch irgendwann das Passwort/Token, die URL und das versendete Format bekannt ist, kannst du auch zum Inhalt ein Hash (z.B. SHA256) ergänzen. So kannst du eine Manipulation des Inhalts erkennen. Wenn z.B. der Score eine 0 mehr hat, passt die Hashsumme nicht mehr. Man müsste also die Verwendung einer Hashsumme erkennen und erneut berechnen, damit der Server die Anfrage akzeptiert.

Da es anscheinend um JavaScript geht und der Source Code eben immer offen ist, ist ein verstecken vom Source auch schwierig. Um den Code schwerer lesen zu können, könntest du den Code noch obfuscaten. Absolut sicher ist auch das nicht.

Mit den zahlreichen Maßnahmen kannst du es stark erschweren, sodass es nicht so häufig ausgenutzt wird bzw. es auch für das Reverse Engineering dauert.

Wie viel du davon umsetzen willst, musst du wissen. Da es nur für ein Projekt in der Schule ist, wird wohl ein Server mit API und Passwort/Token beim Client schon ein guter Schritt sein.

Als Alternative könnte auch jeder Nutzer ein eigenes Konto erhalten. Es kann zwar jeder Daten zur API senden/abrufen, aber du weißt am Ende, wer es war. Die Nutzer könntest du selber Verwalten oder via z.B. Login mit Google auslagern. Die Anbindung wäre z.B. über das OpenID-Connect Protokoll. Um Passwörter musst du dich dann noch nicht mal kümmern.

TheQ86

03.02.2025, 17:04

für z.B. ein Login-System; macht es Sinn eine API für den Server zu schreiben welche ein boolean zurückgibt, ob das gehashte Passwort zum Nutzer passt.

Login-Validierung gehört IMMER serverseitig gemacht. Clientseitig kann der Client sonst manipulieren, wie es ihm passt. Der Server muss verifizieren, dass der Benutzer authentifiziert ist und das geht nur, wenn er die Datenhoheit hat.

Das zurückgeben, ob das übertragene Passwort dem gehashten Passwort in der DB entspricht ist nur ein Schritt, den so ein Login-Service tun muss. In der Regel setzt dieser dann auch ein Session-Cookie.

Ich rate sehr stark dazu, als Anfänger da nichts selbst zu bauen, sondern sich an ein Framework zu halten und zu verstehen, was genau das macht.

Zum Üben und Rumspielen, für einen nicht echten Service kann man das aber so machen.

Woher ich das weiß:Berufserfahrung – Berufserfahrung

AlessandroO6

Beitragsersteller

03.02.2025, 17:38

Es geht auch genau um das üben. Glaube kaum, dass der InformatikLK eines Gymnasium das nächste Facebook entwickelt :o

chillipalmer89

03.02.2025, 17:06

Eine Datenbank die auf einem entfernten Server liegt sollte niemals in irgendeiner Form von außen erreichbar sein. Die Kommunikation sollte nur über eine API erfolgen die nur das allernötigste annimmt und rausgibt.

D.h. das einzige was dem Client bekannt sein muss ist der Hostname. Aber niemals Username und Password für die DB.

Woher ich das weiß:Berufserfahrung – Softwareentwicklung Mobile Apps

IrockRTC

03.02.2025, 17:03

API ist vielleicht etwas hoch gegriffen. Ich weiß ja nicht, um was es genau geht, in welcher Sprache du arbeitest und in welcher Umgebung, aber für ein Login-Script brauchst du nur die Zugangsdaten für den Datenbankserver: Host-Adresse - da könnte man sicher auch die IP nutzen, aber das ist eher unüblich - Nutzer und Passwort.

Suiram1

03.02.2025, 17:10

Wenn der Client direkt auf die Datenbank zugreifen kann währe das ein extremes Sicherheits risiko, da somit jeder Nutzer des Programms die DB login Daten aus dem Programm entnehmen könnte und somit alles in der DB lesen und manipulieren könnte.

AlessandroO6

Beitragsersteller

03.02.2025, 17:23

@Suiram1

Das meinte ich ja, danke. Logindaten in lokalen Variablen beim Client zu speichern ist praktisch das gleiche, als wenn ich dem Client direkt die Daten für die DB in Plaintext schicke und sage "Guck mal selbst nach". Und dem Angreifer in dem Fall zu sagen, dass er es für sich selbst macht und er bitte nicht schummeln soll, ist genauso leichtsinnig, wie der Mathelehrer, der die Lösungen der Aufgaben bereits im Voraus an die Schüler verteilt :o

Ähnliche Beiträge

Wie sichere JWT-Token Zugangsdaten ab?

Ich arbeite derzeit an einer REST-API für ein eigenes Projekt. Zur Absicherung der API möchte ich zum ersten Mal ein JWT-Token verwenden. Wenn ich das Prinzip richtig verstehe, muss ich bei der ersten Anfrage (/authorize) den Benutzernamen und das Passwort senden und erhalte dann das Token, mit dem ich weiterarbeiten kann. Aber wie kann ich die Benutzerdaten sicher übermitteln? Ich verwende AJAX auf der Client-Seite, um die Anfrage zu senden. Es wäre nachteilig, die Zugangsdaten in der klaren .js-Datei zu speichern.

...zum Beitrag

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zum Beitrag

Können über den Thor Browser illegale Aktivitäten die ich nicht begangen habe meiner IP zugeordnet werden?

Ich habe des Thor Browser bisher so verstanden, dass meine Anfrage nicht direkt von meinem Client, sondern Über zwei weitere Clienten zum Server gesendet werden.

Ich Stelle meine IP also auch anderen zur Verfügung. Wenn jemand jetzt zufällig über meine IP abfragt und dabei z.B. Drogen oder Waffen online kauft, dann erfgt die Abfrage ja von meiner IP. Könnte ich damit dann legale Probleme bekommen wenn z.B. die deutsche Polizei das mitbekommt etc.

...zum Beitrag

minecraft cracked Server passwort Frage umgehen?

Mir steht wurst Client zur verfügung

LG aus Lichtenstein

...zum Beitrag

Bei SQLAlchemy (flask) Datenbank Tabelle Account überprüfen?

Ich arbeite seit einiger Zeit mit Flask und SQLAlchemy und bin auf die Idee gekommen, eine Webapp für meine Schulklasse zu bauen. Dort soll man sich einloggen können, auf den (Untis-) Stundenplan schauen können usw..

Allerdings hab ich noch nie ein Login gebaut. (Mit Flask oder Django)

Ich habe eine Datenbank wo Nutzer registriert sind und Nutzername, Passwort sowie die IP Adresse des Computers wo er/sie sich das letzte mal angemeldet haben gespeichert.

Ich habe also nun eine Account Datenbank, eine Registrierungsfunktion, aber wie kann ich im Login programmieren dass er nach dem Benutzernamen sucht und das Passwort überprüft? Dazu habe ich auch nichts im Internet gefunden.

Code: Hier klicken(drive)

Ich weiß der Code ist nicht gerade der sicherste, aber da werden ja auch nicht Zahlungsdaten drauf gespeichert.

Danke im voraus, Lennart

...zum Beitrag

Teamspeak Client Crashcode?

Kann mir jemand einen Crashcode schicken, der Teamspeak 3 eines Clients abstürzen lässt?

Ich werde es nur für Leute benutzen, die auf meinem Teamspeak einen Bann umgehen wollen oder einen IP Changer benutzen.

...zum Beitrag

2 Wlan mit gleicher SSID aber unterschiedlichem Passwort?

Hey, Was würde passieren wenn man 2 AP's mit der selben SSID aber unterschiedlichem Passwort gleichzeitig laufen liess? Wie würde der Client damit umgehen? Würde er das beste (mit dem besten Signal) auswählen und bei dem nach dem Passwort fragen oder wie läuft das? Danke schon mal im Vorraus!

...zum Beitrag

Jemand wollte in mein Google Konto rein aber wurde verhindert?

dieser jemand kennt mein Passwort aber Google hat den login verweigert , da er weiter weg wohnt . Seine Ip adresse wird auch angezeigt. Was soll ich unternehmen?

...zum Beitrag

Login Anfrage instagram?

Hey,

gestern wurde ich aus meinem Insta Account rausgekickt, als ich aber die App neugestartet habe war ich wieder drin (das ganze hat sich 2 mal wiederholt)

als ich dann auf Benachrichtigungen ging stand dort das ein Gerät 3 Login Anfragen gesendet hat, die ich aber schnell abgelehnt habe.
Gleichzeitig habe ich mein Passwort etc. Geändert.(Meine Nummer und email sind aber gleich geblieben.)

Weiß jemand was diese Login Anfragen bedeuten und ob die Person schon Zugriff auf mein Account (oder Handynummer, email) hatte ?

...zum Beitrag

Instagram Login & Passwort zurücksetzen Fehler?

Also, ich habe das Problem beim Anmelden, dass eine Meldung kommt: "Leider ist bei deiner Anfrage ein Problem aufgetreten". Dann versuche ich das über Hilfe beim Anmelden und dann gebe ich meine Email-Adresse ein! Klicke ich auf den Button, wo steht Login as [Username], kommt die gleiche Meldung. Wenn ich das Passwort zurücksetzen will, steht dort zuerst "Leider konnten wir deine Anfrage nicht bearbeiten. Versuche es später erneut " und gleichzeitig kommt die Meldung "Ein unbekannter Netzwerkfehler ist aufgetreten". Cache löschen, Handy neustarten oder deinstallieren hat nichts bewirkt. Jetzt das komischste: Im Browser geht alles? Was ist falsch mit meiner App?

...zum Beitrag

JavaScript Hintergrundprozess laufen lassen?

Ich möchte eine JavaScript Aufgabe asynchron im Hintergrund laufen lassen, die vom Client gesteuert wird.

Normalerweise wird eine asynchrone Aufgabe ausgeführt und gibt eine Antwort zurück.

Ich allerdings möchte den Hintergrundprozess laufen lassen und immer wieder Antworten bekommen.

In meinem Beispiel ist es Puppeteer, eine Alternative für Selenium.

Auf der Website läuft der Puppeteer Browser auf dem Server. Clientseitig soll dieser Hintergrundprozess gesteurt werden, zum Beispiel klickt der Client einen Button, der im Puppeteer Browser auf dem server etwas auslöst.

Wie kann ich so einen Hintergrundprozess, Puppeteer, laufen lassen?

Ich bin es gewohnt, nur sowas wie API-Endpunkte zu benutzen, also eine Anfrage wird gesendet, die Aufgabe wird ausgeführt und eine Antwort kommt zurück.

...zum Beitrag

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zum Beitrag

Wird meine IP-Adresse beim Einloggen auf einer Webseite mitgesendet bzw gespeichert?

Hallo, mich würde mal interessieren, ob die IP-Adresse meines Rechners beim Login auf einer Webseite oder in einem Forum zusammen mit den Login-Daten (Username und Passwort) übermittelt wird.

Wird auf der Webseite, auf welcher ich mich anmelde, meine IP-Adresse zusammen mit meinen Login-Daten gespeichert?

...zum Beitrag

openvpn client ip adresse?

möchte die verbindungauf zu dem openvpn server auf mitarbeiter beschränken, es ändern sich bei ihnen ja die ip adressen, provider, regel auf ip ebene geht ja nicht, da sie wechselt, wie gehe ich vor, nutze pfsense, vielleicht user anlegen mit passwort, wäre das eine option

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen