Beiträge von Syntafin

Zitat von Andy

Nochmal du brauchst zugriff zu dem Mail Account, die Aktivierung zeitlich zu begrenzen ist ja möglich. In diesem fall unterscheidet sich der neue Login nicht von dem aktuell verwendeten Login. Wenn du jemand zugriff zu deinem mail account gibst und den ohne 2FA nutzt, dann ist das offentlich ein problem des nutzers.

Nein braucht es nicht, um eine Postkarte abzufangen und auszulesen braucht es keinen Zugriff.

Geschweige, Abfangen ist ja nicht Mal nötig. Einfach mitlesen...

Hier jetzt auszuführen wie man E-Mails ausliest die von A nach B über C, D, F, G etc unterwegs sind, überschreiten denke ich den Umfang und kann durch kurze Recherche evtl auch über ein LLM gefunden werden.

Zitat von Andy

Da solltest du dich nochmal informieren. AES ist der sicherte Verschlüsselung Algorithmus den es derzeit gibt. Ich bin wie gesagt kein Cyber Security experte aber ich denke nicht das es jemand möglich war bis dato eine AES Verschlüsselung zu "knacken". Hier ein paar quellen

Gut ja, stimmt da hab ich das falsch im Kopf gehabt und mit etwas anderem vertauscht.

Ich finde die an sich ja gut, aber die Sicherheitsbedenken sollte man halt finde ich angehen.

Gerade durch Bekanntwerden immer neuer Methoden wie Blockchain Systeme angegriffen werden können und manipuliert werden.

Darin sehe ich ja das Problem bei diesem Blockchain Ansatz, da die Hardware Komponente fehlt, fehlt die echte Sicherheit.

Selben Problem haben auch Software-Wallets.

Wenn halt ein jeder der eine verwendete Mail-Adresse errät sich ein neues Zertifikat ausstellen kann, ohne das dies irgendwie richtig validiert wird, sehe ich Account Diebstähle ohne wirkliche Hindernisse.

Auch AES als Verschlüsselung ist nicht wirklich etwas wirksames, nicht ohne Grund werden heutzutage BCrypt und Argon verwendet.

Die klassischen Passwort-Reset Mails sind ja zeitlich begrenzt gültig, aber auch da kommt es vor das diese abgefangen werden und der Nutzer selbst diese nie erhält oder modifiziert und ungültig (Berichte dazu gibt es wie Sand am Meer, vor allem bei beliebten Portalen).

Ein Ansatz wie es zB bei Bitwarden gibt fände ich besser, wer sein Master-Passwort verliert, und mit dem Hinweis nicht weiter kommt, der verliert eben den Zugang zu seinem Tresor.

Das ist ja was in meinen Augen WebAuthN/Passkeys so besonders macht, da es die ganze Passwort/Benutzername/Mail Geschichte auf lange Zeit ablösen kann und wird, da man einen Hardware Token verwendet.

Also kurz gesagt, wenn jemand die Postkarte abfängt, das bestätigt und die Postkarte so verändert weiterleitet damit kein Verdacht entsteht, ist alles fein?

Ich will ja nicht sagen das die Idee grundlegend schlecht ist, aber mir kommt es einfach so vor als wenn Sicherheitsrelevante fragen und andere Dinge die es zu bedenken gibt beim Thema Blockchain einfach vergessen werden.

Zitat von Andy

Als angreifer musst du die mail ja bestätigen, was du nicht kannst ohne zugriff auf den mail account zu

Halt stop!!!! Du denkst ernsthaft Email sei eine sichere Methode?

Also kann ein jeder mit deinem System den Account eines anderen verwenden, wenn er die verwendete E-Mail-Adresse kennt.... Gut zu wissen!

Zitat von aebian

Okay und wie stellt man sicher, dass wenn ich die Zertifikats-Datei verliere

Ich frage mich bei dem Ansatz vor allem wie sichergestellt wird das das sogenannte Zertifikat nicht kopiert wird, ähnlich der Vorgehensweise wie man NFTs ja kopieren kann und entwertet.

10 Minuten? Da läuft aber gehörig was schief.

PixelPatron was genau hast du denn unter Autoload und Scripts stehen? Das könnte einen Aufschluss darauf geben.

Zitat von Andy

Aber eine Blockchain ist wesentlich sicherer, da du die Blöcke ja nicht mehr bearbeiten kannst ohne das er ungültig wird.

Ziel von dem ganzen ist es, nicht mehr die mail zu nutzen, sondern einen hash davon. Ich denke viele Leute schrecken davon ab ihre mail irgendwo einzugeben da sie bedenken haben das damit irgendwelche Schandtaten getrieben werden.

Den Mehrwert an Sicherheit sehe ich nicht, liegt aber vielleicht daran das ich weiß wie man sie aushebelt...

Für Otto-Normal mag es sicher zu sein, aber den Overhead sieht wohl niemand dabei.

Und Blockchain heißt nicht gleich Datenschutz freundlich, denn mit Hash werten kann man jetzt schon arbeiten, gerade wenn man sich mal anschaut wie Passkeys arbeiten, kann man darauf verzichten eine Email überhaupt zu haben.

Was ist für dich lange?

Zudem, du hast wohl ein System das alles vorab als HTML vorab rendert, das kostet auch irgendwo Leistung.

Persönlich finde ich das eher unnötig (kostet halt einfach... Alles).

Und wie lange jetzt Composer oder Vite brauchen ist doch egal oder?

Bei mir läuft Vite bis es durch ist locker 25-35 Sekunden.

Persönlich halte ich nichts davon, da Blockchain als Technologie viel zu viel Overhead erzeugt und man sollte auch den Stromverbrauch der Technologie bedenken.

Da sehe ich Passkeys als bessere Alternative.

Aber sehe gerade den PageSpeed Bericht, 99/100 sind doch gut .

Davon kann ich aktuell nur träumen:

PageSpeed Insights

Äh ja machen sie. Ein PNG braucht länger als zB ein WebP oder AVIF um zu laden.

Korrekt, aber Laragon könnte man sogar eher produktiv verwenden... Es ist ja unabhängig von den eigenen releases.

Ich mache vor allem TreeShaking automatisiert mit Vite während dem Build Prozess, dazu werden die Komponenten einzeln gepackt damit nur geladen werden muss was gebraucht wird.

Zusätzlich lasse ich die gesamte Anwendung vorab Kompilieren, statt zur Laufzeit.

Für Windows, wenn's unbedingt sein muss würde ich Laragon oder Herd empfehlen.

Und ja, man kann auch unter Windows arbeiten, verzichtet aber auf Nice-to-haves die es heutzutage so gibt, wie eben Octane und Scout.

Zeig doch mal dein SVG, weil so ganz verstehe ich dein Problem nicht .

mach doch jeden buchstaben zum eigenen objekt, und zieh sie entsprechend?

Ich empfehle dir dringend eh Windows als Server los zu werden, alleine schon wegen der Sicherheit und der Performance.

Unter Linux kannst du dann auch von Dingen wie Swoole, RoadRunner, FrankenPHP etc Gebrauch machen .

So ganz verstehe ich gerade nicht was du vor hast und wo dein Problem liegt .

Zitat von Andy

So, ich habe die meisten url's umgestellt zu clean url's. Einen Router gab es bereits schon davor, also war das umstellen nur das setzen der rewite rules und das ändern der url's in den links auf der Seite selbst.

ein Router sollte die URLs ja aber selbst umschreiben.