Login per Link mit Parameter

Christopher Walz · Jan 6th 2023

Hi,

ich implementiere für eine Anwendung gerade den Direktlogin per Link + Hash.

Der Hash wird dabei mit bin2hex(\random_bytes(50) generiert.

Ist die Generierung/Länge des Hashes so sicher genug oder gibt es bessere Möglichkeiten? Ansonsten würde ich die Route zusätzlich noch per Rate Limiting absichern.

Grüße

**Tim Düsterhus** · Jan 6th 2023

Halllo,

für eine angemessene Beurteilung fehlen ganz entscheidende Informationen, beispielsweise wie dieser „Hash“ überhaupt genutzt wird.

Christopher Walz · Jan 6th 2023

Ausgewählte Kunden bekommen per Email einen Link (z.B. http://www.example.com/admin/?loginHash=X) zugesandt, mit dem sie direkt eingeloggt sind, um Ihr Profil vollständig auszufüllen.

Zugangsdaten (Email + PW) haben die Kunden nicht und sollen sie auch nicht bekommen. Dass der Account des Kunden "futsch" ist, wenn der Link an die Öffentlichkeit gerät, ist natürlich bekannt.

Die Prüfung des Hash würde ungefähr so aussehen:

PHP

$loginHash = (isset($_GET['loginHash'])) ? StringUtil::trim($_GET['loginHash']) : '';

if ($loginHash) {
    $sql = 'SELECT userID
            FROM foo1_foobar
            WHERE userID IS NOT NULL
            AND loginHash = ?
            AND isDisabled = 0';
    $statement = WCF::getDB()->prepare($sql);
    $statement->execute([$loginHash]);
    $userID = $statement->fetchSingleColumn();

    if ($userID) {
        WCF::getSession()->changeUser(new User($userID));
        WCF::getSession()->update();

        HeaderUtil::redirect(LinkHandler::getInstance()->getControllerLink(self::class, [
            'application' => 'seo'
        ]));
        exit;
    }
}

Display More

Was ich mich auch noch Frage, ob hier "timing attacks" möglich wären. Vermutlich wäre das bei der direkten Ausführung der Query möglich, aber nicht wenn das ganze noch über PHP und das Netzwerk/den Browser geht?

**Tim Düsterhus** · Jan 6th 2023

Hallo,

danke für die Details.

Quote from Christopher Walz

Was ich mich auch noch Frage, ob hier "timing attacks" möglich wären.

Ja.

Quote from Christopher Walz

Vermutlich wäre das bei der direkten Ausführung der Query möglich, aber nicht wenn das ganze noch über PHP und das Netzwerk/den Browser geht?

Timing-Angriffe werden teurer, je mehr Jitter in der Verbindung ist, aber mit genug Anfragen sind die auch über das Internet möglich.

Um deine Frage zu beantworten:

Quote from Christopher Walz

Ist die Generierung/Länge des Hashes so sicher genug oder gibt es bessere Möglichkeiten?

50 Bytes sind viel zu viel. Es reichen 16 Byte (128 Bit) völlig aus. Praktisch jedes Passwort ist schlechter.
Verwende den Constant-Time-Encoder: https://docs.woltlab.com/6.0/m…es/#constant-time-encoder

Zum Lookup: Binde die User-ID irgendwie mit in den Link ein, selektiere den User ausschließlich auf Basis der User-ID und führe die restliche Validierung komplett in PHP durch (bspw. die Prüfung auf Aktivierung). Das Token validierst du via hash_equals().

Christopher Walz · Jan 6th 2023

Danke dir, ergibt so mehr Sinn!

Login per Link mit Parameter

Participate now!

Share

Similar Threads

Seite funktioniert nicht

Drittanbieter-Login: Twitter

Abschalten der Anmeldung nicht mehr unter WSC5.5 möglich

Text per Kopieren aus Zwischenablage verlinken