Kann eine URL mit AutoLogin sich in speziellen Seiten öffnen?

Ich will für meinen Betrieb zu einer Berufsindosmesse einen QR Code angeben, welcher den Nutzer sofort in einen Bereich zieht. QR Cide generieren ist kein Problem.

Allerdings will ich, dass man nach Scan des QR-Codes sofort in einem Edit Bereich (EditView) landet. Der AutoLogIn funktioniert immer, aber egal was angegeben wird, es öffnet immer die Startseite (die nach jedem LogIn kommt). Sprich:

"https://EineWebsite/client/login?autologin=true&password=123&username=admin" (Keine angegebe Seite ist echt sondern dient nur zur Vorschau).

Dieser Link würde mich zu meiner Startseite bringen, ohne dass ich mit einloggen muss, aber dieser Link:

"https://EineWebsite/client/MeinProject/edit/login?autologin=true&password=123&username=admin"

würde meinen Edit nicht öffnen. Ist es möglich innerhalb der URL anzugeben, dass er direkt nach dem LogIn eine neue Seite aufrufen soll?

Die Seite ist nach dem LogIn immer direkt aufrufbar, mit LogIn allerdings nicht.

Danke im Vorraus

2 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

Xandros0506

05.10.2022, 08:42

Login-Daten (egal ob Einweg oder für dauerhafte Nutzung) gehören absolut nicht in der URL im Klartext übertragen, sondern nach dem öffnen der SSL-geschützten Loginseite verschlüsselt übertragen. Wenn die verwendete Plattform also die unverschlüsselte Übertragung von Logindaten in der URL unterstützt, sollte diese Sicherheitslücke dringend geschlossen werden.

Ob das für deine Anwendung nun nutzbar wäre oder nicht, spielt also keine Rolle. Die unverschlüsselte Datenübertragung auf diese Weise ist nicht sicher und gehört abgeschaltet.

Der1Andere

Beitragsersteller

05.10.2022, 09:40

Es handelt sich in meinem Fall um einen Cloud Server. Systeme, die Kunden verwenden, unterstützen das nicht.

NackterGerd

05.10.2022, 09:11

Wenn die verwendete Plattform also die unverschlüsselte Übertragung von Logindaten in der URL unterstützt, sollte diese Sicherheitslücke dringend geschlossen werden

Und natürlich immer unsichtbar

NackterGerd

05.10.2022, 09:09

Das kann doch nicht funktionieren

Du willst ehrlich

...MeinProject/edit/login?autologin=true&password=123&username=admin

Angeben?

Das ist nicht wirklich dein ernst 😱

Zum einen?

Ich vermute edit soll doch deine Seite sein!

Mit edit/login würdest du ja nicht zu edit sondern zu einer Unterseite davon kommen mit dem Namen login.

Ich vermute mal stark dass es diese Seite gar nicht gibt.

Und wenn wärst du ja nicht auf deiner Seite.

Nächstes Problem:

Selbst wenn du bei deiner Edit die Login Daten mitgeben würdest, hast du denn auf deiner edit Seite überhaupt eine Abfrage der Parameter und Auswertung? Sicherlich nicht.

Was soll deine Seite damit machen ?

Aber jetzt zum allergrößten Problem!

Nie und nimmer darfst du folgendes als sichtbare Parameter übergeben:

Login=true
Passwort
Username

Niiieeemals - dass könnte doch dann jeder mitkommen und sich einfach mit fremden Daten einloggen

Im übrigen kann das jeder der Zugriff auf deinen Rechner hat da dein Browser ja so unbeabsichtigt Passwörter ungeschützt in der hystory Mitspracherecht.

Nun zu deiner Frage:

Kann eine URL mit AutoLogin sich in speziellen Seiten öffnen?

Ja natürlich kann nach dem Login eine spezielle Seite mit Weiterleitung erfolgen.

Wie sieht den das PHP File deines aktuellen Login aus ?

Im Prinzip könntest du eine 2. LOGIN Seite hierfür machen die zum Edit führt.

Im qr müsstest du dann diese 2. Login angeben.

Z.b ...edit/login

Von dieser dann nach dem Login die Seite Login oder "../" aufrufen.

Aber!

Dein Betrieb?

Wer ist denn bei deinem Betrieb für den Datenschutz zuständig?

😱☠️👿👹

Der1Andere

Beitragsersteller

05.10.2022, 09:51

Erstmal beruhigst du dich. Ich werde dir keinerlei Details von unseren Datenschutz nennen. Wir verwenden aber Cloud Systeme, wo diese Art von LogIn garnicht mehr funktioniert. Aber hier SOLL sie funktionieren. Alle oben gezeigten Seiten sind Beispiele, wie bereits gesagt. Der gesamte Seitenaufbau ist egal.

Der AutoLogIn SOLL funktionieren mit

"?login=true&password=123&username=admin"

am Ende. Das Projekt ist winzig, läuft aber halt auf unserem System.

Mir ging es nur darum herausfinden, ob der AutoLogIn auch eine spezielle Seite von meinem System direkt aufrufen kann.

Sinn davon ist es, dass Interessierte unser Projekt ausprobieren können. Sie sollen direkt dort landen und sollen nicht selbst navigieren. Natürlich ist das unsicher, aber das "soll" es ja auch sein für diese eine Projekt. Anders gehts halt bei uns ned.

Und keine Sorge, alle anderen Systeme funktionieren nicht mit AutoLogIn.

NackterGerd

05.10.2022, 10:33

@Der1Andere

Ich bin ruhig!

Der AutoLogIn SOLL funktionieren mit

"?login=true&password=123&username=admin"

Und wenn du meinst es soll so funktionieren warum implemtierst du es denn nicht so.

Ist ja kein Hexenwerk

Kannst du ja in deine Edit Seite einbauen.

Einfach die Parameter an die Seite und auswerten und weiter zum Login

Wenn du anstatt dich aufzuregen gezeigt hättest wie deine Login Seite aussieht hätten dir helfen können was du am PHP anpassen müsstest damit es funktioniert.

Im Übrigen ist nicht Autologin das Problem - autologin kann man ja verwenden - nur eben richtig.

Wenn es nur intern sein soll umso besser.

Dann kannst du auch die interne IP zum Autologin verwenden und machst die Benutzung noch einfacher und sicherer

Gibt viele professionelle Seiten mit Login und Autologin von bekannten Usern.

So kann man nur sagen JA es geht, und man würde es es besser anders machen.

Aber scheinbar bist du an keiner echten Hilfe interessiert

Ähnliche Beiträge

qr code erstellen mit url und username und passwort

hallo

wollte mal nett fragen ob sich jemand damit auskennt, und zwar ein qr-code erstellen einer URL mit username und Passwort, also ich meine damit ein automatisches einloggen. sagen wir bspw. mit "www.wer-kennt-wen.de". wie genau mache ich das? also möglich ist das denke ich auf jedenfall, nur habe kein plan wie.

(wäre doch übrigens super, ein automatischer seitenbesuch mit automatischem einloggen, und kein tippen mehr)

wäre nett wenn mir jemand helfen könnte. vielen dank im vorraus.

...zum Beitrag

PHPSESSID Cookie nach reload löschen?

Hallo, ich habe ein Problem mit meinem php code. Immer wenn ich meine Login Seite öffne, mich anmelde, aber dann wieder zurück auf die login seite gehe kommt nur das:

funktioniert dann erst wieder wenn man manuell die cookies löscht. Wie kann ich es hinbekommen, dass die cookies automatisch bei einem reload der Seite wieder gelöscht werden? Danke schonmal

Ach ja hier ist noch der php code:

<?php
      if(isset($_POST['submit'])){
        $username = $_POST['username']; $password = $_POST['password'];
        if($username === 'admin' && $password === 'password'){
          $_SESSION['login'] = true; header('LOCATION:https://example.de'); die();
        } {
          echo "<div class='alert alert-danger'>Username and Password do not match.</div>";
        }
      }
?>

...zum Beitrag

Login nicht möglich, trotz richtiger Daten?

Wie kann es sein, dass ich mich in einem Portal nicht mehr einloggen kann, obwohl ich die durch "Passwort vergessen" zugesandten Daten verwende?

Fehler: "invalid username or password"

...zum Beitrag

Htaccess Parameter über URL übergeben?

Ich würde gerne die Username und Password Parameter über die URL übergeben für eine Htaccess Datei. Früher ging das mal mit:

http://username:password@server/folder/

gibt es da heute eine Alternative dazu?

...zum Beitrag

PHP/Passwortvergleich: Warum kommt immer wieder eine Fehlermeldung?

Hallo!

Ich will ein Passwort, das eingegeben wird, vergleichen. Doch es kommt immer wieder diese Fehlermeldung:

Eingegebenes Passwort: n1234
admin:238 Benutzername: nadine
admin:242 Uncaught ReferenceError: form is not defined
  at validatePassword (admin:242:18)
  at HTMLButtonElement.onclick (admin:161:100)

Der Code im AdminController sieht so aus:

public function validatePassword(Request $request, $userName) {
  try {
    $password = $request->input('password');

    // Benutzer anhand des Benutzernamens finden
    $user = User::where('username', $userName)->first();

    // Debugging-Informationen in das Log schreiben
    \Log::info('Benutzername: ' . $userName);
    \Log::info('Benutzer gefunden: ' . ($user ? 'Ja' : 'Nein'));

    if (!$user) {
      return response()->json(['valid' => false, 'message' => 'Benutzer nicht gefunden']);
    }

    // Überprüfen, ob das gespeicherte Passwort im Bcrypt-Format ist
    $passwordInfo = password_get_info($user->password);
    \Log::info('Passwort-Algorithmus: ' . $passwordInfo['algoName']);

    if ($passwordInfo['algoName'] !== 'bcrypt') {
      return response()->json(['valid' => false, 'message' => 'Das gespeicherte Passwort verwendet nicht den Bcrypt-Algorithmus.']);
    }

    // Passwortüberprüfung
    $passwordCheck = Hash::check($password, $user->password);
    \Log::info('Passwort korrekt: ' . ($passwordCheck ? 'Ja' : 'Nein'));

    if ($passwordCheck) {
      return response()->json(['valid' => true]);
    }
    else {
      return response()->json(['valid' => false, 'message' => 'Ungültiges Passwort']);
    }
  }
  catch (\Exception $e) {
    \Log::error('Fehler bei der Passwortvalidierung: ' . $e->getMessage());
    return response()->json(['valid' => false, 'message' => 'Serverfehler. Bitte versuchen Sie es später erneut.'], 500);
  }
}

Und im admin blade so:

function showPasswordModal(route, userName) {
  console.log('showPasswordModal() wurde aufgerufen mit Route:', route);
  $('#passwordModal').modal('show');
  $('#passwordForm').attr('action', route); // Setze die Aktion des Passwort-Formulars auf die gewählte Route
  $('#passwordForm').data('userName', userName);
  console.log(userName);
}

function validatePassword() {
  console.log('validatePassword() wurde aufgerufen');
  var enteredPassword = document.getElementById('passwordInput').value;
  var userName = $('#passwordForm').data('userName');
  console.log('Eingegebenes Passwort:', enteredPassword);
  console.log('Benutzername:', userName);

  $.ajax({
    type: 'POST',
    url: form.action,//$('#passwordForm').attr('action'), // Stellen Sie sicher, dass dies die richtige Route ist
    data: {
      '_token': '{{ csrf_token() }}',
      'password': enteredPassword
    },
    success: function(response) {
      console.log('Server-Antwort:', response);

      if (response.valid) {
        $('#payForm').submit();
      }
      else {
        alert(response.message || 'Falsches Passwort! Bitte versuche es erneut.');
      }
    },
    error: function(xhr, status, error) {
      console.error('AJAX-Fehler:', error);
      alert('Fehler beim Validieren des Passworts. Bitte versuche es später erneut.');
    }
  });

Warum kommt immer wieder eine Fehlermeldung? Ich habe schon alles probiert und das schon seit Stunden! Danke.

...zum Beitrag

Python Paramiko Error?

Hey! Ich habe probleme mit Paramiko in Python. das unten ist mein Skript.

Aber es gibt mit diesen Fehler:

socket.gaierror: [Errno 11001] getaddrinfo failed

import paramiko

from paramiko import AutoAddPolicy

ssh = paramiko.SSHClient()

ssh.set_missing_host_key_policy(AutoAddPolicy())

server = input('Server IP: ')

username = input('Login as: ')

password = input(username + '@' + server + "'s Password: ")

try:

ssh.connect(server[0], username=username, password=password)

except paramiko.AuthenticationException:

print('Login Failed!')

stdin, stdout, stderr = ssh.exec_command('python3 king.py')

stdin, stdout, stderr = ssh.exec_command('echo text >> text.txt')

...zum Beitrag

PHP Fehler?

Moinsen Leude,

Ich bin gerade etwas am verzweifeln. Ich arbeite noch nicht so lange mit php und stoße die ganze zeit immer wieder auf den gleichen fehler:

Warning: Undefined array key "password" in C:\xampp\htdocs\website\metropolisx\index.php on line 21

Hier die PHP-Datei um die es geht:

<?php
session_start();
require_once "includes/config.php"; // Datenbankverbindung

$error = "";

// Nur fortfahren, wenn das Formular per POST abgesendet wurde
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    // Überprüfen, ob die Felder 'username' und 'password' in $_POST gesetzt sind
    $username = isset($_POST['username']) ? $_POST['username'] : '';
    $password = isset($_POST['password']) ? $_POST['password'] : '';

    // Überprüfen, ob beide Felder nicht leer sind
    if (!empty($username) && !empty($password)) {
        // Datenbankabfrage, um den Benutzer zu finden
        $stmt = $pdo->prepare("SELECT * FROM accounts WHERE USERNAME = ?");
        $stmt->execute([$username]);
        $user = $stmt->fetch();

        // Wenn der Benutzer existiert und das Passwort korrekt ist
        if ($user && password_verify($password, $user['password'])) {
            $_SESSION['user'] = $user['username'];
            // Weiterleitung zum Dashboard
            header("Location: pages/dashboard.php");
            exit();
        } else {
            $error = "Falsche Anmeldedaten!";
        }
    } else {
        // Fehlermeldung, wenn eines der Felder leer ist
        $error = "Bitte Benutzername und Passwort eingeben!";
    }
}
?>

<!DOCTYPE html>
<html lang="de">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Login | MetropolisX</title>
    <link rel="stylesheet" href="css/style.css">
</head>
<body>

<div class="login-container">
    <h2>MetropolisX - Login</h2>

    <?php if ($error): ?>
        <p class="error"><?php echo htmlspecialchars($error); ?></p>
    <?php endif; ?>

    <form method="post">
        <input type="text" name="username" placeholder="Benutzername" required>
        <input type="password" name="password" placeholder="Passwort" required>
        <button type="submit">Anmelden</button>
    </form>
</div>

</body>
</html>

Wenn einer von euch weiß warum ich diesen fehler die ganze zeit kriege, gebt gerne bescheid. Danke schonmal im vorraus :D

...zum Beitrag

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zum Beitrag

Fritzbox super admin login?

Hallo, Wie ist der name und password von fritzbox super admin? Die richtige website von der fritzbox habe ich bereits. Wie ihr aber wisst hat JEDER anbieter(z.B fritzbox avm) einen super admin login der versteckt ist. Nun admin & admin klappt nicht. Sind hier zufälligerweiser paar Fritzbox experte?

Ja jeder kann sich einen manuellen user anlegen, jedoch geht es gerade nicht um den.

...zum Beitrag

Badlion Client mit Microsoft Konto"?

Ich habe mir Minecraft mit meinem Microsoft Konto Gekauft. Kann ich damit auch Badlion Client verwenden? Weil wenn ich die E-Mail Adresse des Microsoft Kontos angebe kommt: "Invalid credentials. Invalid username or password." oder "Der Badlion Client unterstützt aktuell nur Premiun Minecraftaccounts.".

Wieso ist das so?

...zum Beitrag

login system geht nicht?

Hi ich habe ein sign up und login system für eine website mithilfe von xamp, mysqli und php gebaut, dass signup system mit error messages und allem funktioniert auch, aber das login system nicht. Wenn ich mich versuche einzuloggen passiert nichts und wenn ich absichtlich falsche login daten eingebe passiert ebenfalls nichts. Ich weiß nicht woran das liegt und bräuchte echt hilfe. Wenn jemand meinen Code braucht einfach bescheid sagen :/

...zum Beitrag

Bei Kali Linux autologin aktivieren?

Hallo ich wollte fragen wie man autologin auf kali aktivieren kann das mit dem daemon konfig ändern dass die so aussieht: # Enabling automatic login AutomaticLoginEnable = true AutomaticLogin = root das funktioniert nicht ich muss mich trotzdem noch anmelden

...zum Beitrag

PHP SSH2 - Wie logge ich mich mit SSH Key ein?

Meine PHP Datei hat nun folgenden Code:

<?php


function ssh($command){
    $connection = ssh2_connect($_SESSION['ip'], 22);
    
    if(ssh2_auth_password($connection, $_SESSION['username'], $_SESSION['password']) == false){
        return "ERROR";
    }
    
    $connection = ssh2_connect($_SESSION['ip'], 22, array('hostkey'=>'ssh-rsa'));


    if (ssh2_auth_pubkey_file($connection, $_SESSION['username'],
                              '/home/'.$_SESSION['username'].'/.ssh/id_rsa.pub',
                              '/home/'.$_SESSION['username'].'/.ssh/id_rsa', 'secret')) {
        
      echo "Public Key Login erfolgreich\n";
    } else {
      die('Public Key Authentication Failed');
    }


    $stream = ssh2_exec($connection, $command);
    stream_set_blocking($stream, true);
    $stream_out = ssh2_fetch_stream($stream, SSH2_STREAM_STDIO);
    return stream_get_contents($stream_out);
}


?>

Mit diesem Befehl habe ich den Key erstellt: ssh-keygen -t rsa -C "admin@ [+++ durch Support editiert +++].com"

Ich habe für PHP eine zweite Seite in der eine Form ist, und wollte wissen welche Daten man jetzt angeben müsste damit man sich anmelden kann, außer IP.

Hier die Seite: [+++ durch Support editiert +++]

...zum Beitrag

Python / tkinter: Warum ist das falsch?

Ich möchte ein Passwortskript mit GUI coden, aber ich weiß nicht, was ich falsch mache.

Hier mein Skript:

from tkinter import *

def open_password():
    password = Tk()
    password.geometry("300x300")
    entry2 = Entry(password, width= 20)
    entry2.pack()
    b_password1 = Button(password, text="LOGIN", command=button_command2)
    b_password1.pack()
    password.mainloop()
    
def adminrechte():
    admin = Tk()
    admin.geometry("300x300")
    adminlabel = Label(admin, text="das sind admin rechte")
    adminlabel.pack()
    admin.mainloop()

def button_command2():
    text = entry1.get()
    if entry1 == "admin":
        b_login1 = Button(root, text="weiter", command=adminrechte)
        b_login1.pack()
        print("logged in test")
        return NONE

def button_command():
    text = entry1.get()
    if text == "username":
        b_login1 = Button(root, text="weiter", command=open_password)
        b_login1.pack()
        return NONE

root = Tk()
root.geometry("300x300")
entry1 = Entry(root, width= 20)
entry1.pack()
Button(root, text="Ok", command=button_command).pack()
root.mainloop()

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen