Login per Widget auf externer Seite

Hallo,

ich habe zu folgender Idee noch ziemliche Sicherheitsbedenken, deswegen wollte ich euch mal fragen, wie ihr ähnliches umsetzen würdet:

Ich möchte ein kleines Widget anbieten, welches andere Webseitenbetreiber in ihre Seite einbinden können. Dieses Widget soll auch einen Login erlauben - wer also auf meiner Seite registriert ist, könnte sich dort einloggen, und z.B. einen kleinen Eintrag hinterlassen. Man kann sich das quasi wie eine Shoutbox nur mit Login vorstellen.

So, jetzt zu meinem Problem: Wie kann ich garantieren, dass der andere Webseitenbetreiber die Logindaten nicht abfängt? Sobald ich den Login im Widget selbst zulasse, könnte der Seitenbetreiber es entsprechend modifizieren, sodass die Daten an ihn geschickt werden, leite ich den Nutzer erst auf meine Seite zum Login um, könnte der Seitenbetreiber sehr leicht eine Phishing-Seite erstellen, die meiner ähnelt.

Fällt euch ein guter Ansatz ein, wie man sowas besser lösen könnte?

Original von lauscher

Wie kann ich garantieren, dass der andere Webseitenbetreiber die Logindaten nicht abfängt?

Mh ... gar nicht. Du könntest zwar z.B. nur erlauben ein Script-Tag einzubinden das den Rest generiert aber du kannst nicht verhindern, dass der Webseitenbetreiber ein Formular nachbaut, das exakt genauso aussieht, aber die Daten an seinen Server sendet. Das wäre zwar leicht zu entlarven indem man einfach in den Quellcode schaut, aber wer macht das schon?

Letztlich kann er sogar einen "Keylogger" auf seiner Seite installieren (über JavaScript z.B.), der sämtliche Tastendrücke abfängt und speichert. Dann kann er auch dein Originalformular verwenden.

Nenn mich Pessimist aber ich sehe da keine großen Erfolgschancen.

Vielleicht über ein Flash-Plugin?

Ich weiß aber nicht wie sicher die sind.

Kann man auch nachbauen.. 

Vorschlag: Laden und aufbauen eines IFrames bzw. Javascript (vgl. Werbung); sofern man nicht bei dir eingeloggt ist, muss man kurz deine Seite besuchen. Denn wenn du anfängst, und deine eigentliche Seite versteckst, hat der User - wie du bereits erkannt hast - keine Chance mehr, echt von Plagiat zu unterscheiden. Selbst SSL hilft hier nicht, wenn er nicht weiß, wie die korrekte Adresse lauten sollte.

Kann man auch wiederum nachbauen. Wenn man halbwegs geschickt ist merkt es der Nutzer nicht.

Guck ma facebook connect an... Wieso das rad neu erfinden?

Original von FlashingPumpkin

Guck ma facebook connect an... Wieso das rad neu erfinden?

Nein, das ist nicht das, was der Op wollte. Weil dann hätte ich auch mit OpenID-Providern wie Google, Yahoo und Co ankommen könnte. Die Spiele bei Facebook muss _ich_ als User freigeben (vgl. OpenID).. mehr ist das nicht. Ich muss mich weder auf der Seite von zynga registrieren noch liegen die (offensichtlichen) Scripte auf deren Server.

Stimmt, Facebook Connect / Openid gehen in eine andere Richtung. Flash wäre vielleicht noch eine gute Idee, da wäre der Aufwand, das ganze Widget nachzubauen, zumindest relativ hoch.

Naja, wenns nicht anders zu lösen ist, werde ich den Nutzer dann wohl erstmal auf meine eigene Seite zum Login leiten, und dort dann mit einem Nutzerbild oder sowas aus dem Cookie heraus zeigen, dass es keine Phishing Seite ist. Klappt natürlich auch nur, wenn man nicht an einem fremden Rechner sitzt, und das Cookie schon drauf hat.

mir kommt da eben ned Idee.

Du hast deine Seite, jeder user hat dort sein PW und seinen Usernamen.

Der user kann sich auf deiner Seite im "Privaten" Bereich die seiten anlegen die er nützen will. Für jede Seite bekommt er eine Nummer an seinen Namen angehängt.

Also Username123

Gibt er diesen Namen korrekt auf der Seite ein welche er nützen will bringt es dem Seitenbetreiber nicht diese abzufangen, da der Name nur dort funktioniert. PW muss er selbstverständlich keines angeben. Die Chance das es einer knackt is relativ unrealistisch --> ma könnte Anzeige Name und User Namen einführen. So kann kaum einer draufkommen.

Verständlich was ich meine?

Natürlich mit dem Aufwand verbunden sich wieder mehrere Namen für verschiedene Seiten merken zu müssen. (Da könnte ma nen FireFox Addon machen welche sich die merkt und selber einfügt...).

Aber naja vielleicht doch etwas zu kompliziert, muss einfacher gehen.

lg,

Original von lauscher

Hallo,

ich habe zu folgender Idee noch ziemliche Sicherheitsbedenken, deswegen wollte ich euch mal fragen, wie ihr ähnliches umsetzen würdet:

Ich möchte ein kleines Widget anbieten, welches andere Webseitenbetreiber in ihre Seite einbinden können. Dieses Widget soll auch einen Login erlauben - wer also auf meiner Seite registriert ist, könnte sich dort einloggen, und z.B. einen kleinen Eintrag hinterlassen. Man kann sich das quasi wie eine Shoutbox nur mit Login vorstellen.

So, jetzt zu meinem Problem: Wie kann ich garantieren, dass der andere Webseitenbetreiber die Logindaten nicht abfängt? Sobald ich den Login im Widget selbst zulasse, könnte der Seitenbetreiber es entsprechend modifizieren, sodass die Daten an ihn geschickt werden, leite ich den Nutzer erst auf meine Seite zum Login um, könnte der Seitenbetreiber sehr leicht eine Phishing-Seite erstellen, die meiner ähnelt.

Fällt euch ein guter Ansatz ein, wie man sowas besser lösen könnte?

So ganz verstehe ich nicht, wozu man sich auf der fremden Seite einloggen können soll. Welche Funktionalität soll das Widget denn grob haben?

Denn auch wenn du die User bei dir authetifizierst, möchstest du doch im Endeffekt dem fremden Webseitenbetreiber (der dein Widget nutzt) sagen, dass dieser User eingeloggt ist. Also zB. über ein Cookie oder über Formularübertragung. Damit kann er dann aber so oder so auf die Daten zugreifen ... das Passwort mag zwar verschlüsselt sein, aber lokal kann man heutzutage doch recht viel ziemlich schnell knacken.

@Dorgo
Deine Idee habe ich mal so garnicht verstanden. ^^

Im Prinzip schon wie oben beschrieben gehts in die Richtung einer Shoutbox: Man soll sich auf der fremden Seite einloggen, dort eine Nachricht im Widget hinterlassen können, ohne, dass der Seitenbetreiber überhaupt eine Anmeldung anbieten muss.

Am Liebsten wäre es mir, wenn der Seitenbetreiber nichts vom Nutzer mitbekommt, nur 2-3 Zeilen Code reinkopieren muss, fertig. Der Rest sollte dann unabhängig vom ihm laufen. Eigentlich müsste ich bei mir überprüfen, ob der Nutzer eingeloggt ist, und dem Widget dann nur noch mitteilen, dass er posten darf. Der Nutzer sollte auf der fremden Seite nie sein Passwort eingeben müssen.