Problem auf einer Seite mit Passwort

Funktioniert ein anderer Browser? Bist du der Einzige, der sich dort nicht einloggen kann?

Die Verlängerung ist kein optischer Effekt. Das Passwort wird vor der Übertragung gehasht.

function superchallenge_pass(form) {
		var pass = form.pass.value;
		if (pass) {
			var enc_pass = MD5(pass);
			var str = form.user.value+":"+enc_pass+":"+form.challenge.value;
			form.pass.value = MD5(str);
			return true;
		} else {
			return false;
		}
	}

Falls die Login-Daten vom Server abgelehnt werden, so sehe ich drei Möglichkeiten: Die Username-Passwort-Kombination ist schlicht falsch, der JavaScript-Code zur Bestimmung des Hashes unterscheidet sich von der Serverimplementierung oder etwas auf dem System manipuliert die Daten bei der Übertragung.
Im zweiten Fall werden das Problem auch andere haben, letzteres kann über ein zweites, unabhängiges System geprüft werden.

Ich kann mir durchaus vorstellen, das auf dieser Seite keine automatische Anmeldung funktioniert.

Ich weiß zwar nicht genau, wie die Paßwortspeicherung beim FF funktioniert, aber ich vermute, das der Inhalt des Paßwort-Feldes nach dem Drücken des "Anmelden" Knopfes gelesen wird. Das wäre ein Problem. Zum einen würde sich der FF den Hash merken und nicht das Klartext-Paßwort, was allein schon zu einem Fehler führen würde. Zusätzlich fließt in den Hash, der generiert wird, eine sogenannte Challenge mit ein, ein Wert, der bei jedem Aufruf der Anmeldeseite anders ist. Damit ist auch jedesmal der Hash und somit das zum Server übertragene Paßwort anders.

Zitat von Seelenschnitter

... ich meinte damit, dass ein Login generell nicht möglich ist,...

Bedeutet das, du kannst dich nie anmelden, auch wenn du das Paßwort per Hand eingibst? In dem Fall: sitzt du vielleicht hinter einem Proxy, der die Anmeldeseite cached, obwohl er eigentlich nicht sollte?

Quelle: Junker Jörg

Zitat von Junker Jörg

das der Inhalt des Paßwort-Feldes nach dem Drücken des "Anmelden" Knopfes gelesen wird. Das wäre ein Problem. Zum einen würde sich der FF den Hash merken und nicht das Klartext-Paßwort

Der Fx wartet keine OnSubmit-Handler ab und speichert den Wert unmittelbar davor. Macht insofern auch Sinn, da der Fx sich nur die Eingaben des Users merken soll, keine (variablen) Modifikationen durch Script-Code.

Zitat

Zusätzlich fließt in den Hash, der generiert wird, eine sogenannte Challenge mit ein, ein Wert, der bei jedem Aufruf der Anmeldeseite anders ist. Damit ist auch jedesmal der Hash und somit das zum Server übertragene Paßwort anders.

Der gesendete Hash ändert sich in Abhängigkeit vom Challenge-Wert, korrekt. Allerdings sendet der Fx den Challenge-Wert ebenfalls zurück zum Server. So dieser keine Verfallszeit für Challenge-Werte definiert, wäre das Vorgehen damit auch transparent bei einem falsch implementierten Caching-Proxy.

Zitat von boardraider

Der Fx wartet keine OnSubmit-Handler ab und speichert den Wert unmittelbar davor.

Danke für die Info. Hast recht, nur so macht es Sinn.

Zitat von boardraider

Allerdings sendet der Fx den Challenge-Wert ebenfalls zurück zum Server. So dieser keine Verfallszeit für Challenge-Werte definiert, wäre das Vorgehen damit auch transparent bei einem falsch implementierten Caching-Proxy.

Ich gehe davon aus, das die Challenge zum einmaligen Gebrauch bestimmt ist. Dann wäre es irrelevant, das der FF die Challenge mitsendet, und Caching würde genau das vom TO beschriebene Verhalten erzeugen - nur die allererste Anmeldung funktioniert, unabhängig davon, ob die Daten von Hand oder vom FF eingetragen werden.

Zitat

Dann wäre es irrelevant, das der FF die Challenge mitsendet

Irrelevant nicht unbedingt, der Server braucht den Wert, um die Berechnung nachvollziehen zu können. Entweder muss der Browser diesen wieder mitschicken oder der Server muss den Challenge-Wert in einer Datenbank speichern und mit Informationen korrelieren (Session-ID). Da wir letztlich keine Informationen über die konkrete Implementierung haben sind allerdings beide Szenarien möglich, daher kommt deine Vermutung mit dem Proxy ebenso in Betracht.

Das mit dem irrelevant bezog sich auf den Erfolg des Einloggens. Bei einer Einmal-Challenge ist es irrelevant, ob der Hash nicht verifiziert wird oder ob der Hash verifizierbar ist, aber die Challenge als Double erkannt wird - das Einloggen wird verweigert.

Das eine erfolgreiche Korrelation zwischen Hash und Challenge Grundvoraussetzung für erfolgreiches Einloggen ist, ist unbestritten. Deshalb sollten wir diesem etwas mehr Aufmerksamkeit schenken:

Zitat von boardraider

...(Session-ID)...

Vielleicht werden entsprechende Cookies verhindert - entweder im FF selbst, oder durch Dritt-Software?

Quelle: Junker Jörg

Zitat von Junker Jörg

aber die Challenge als Double erkannt wird

Das Erkennen einer Mehrfachverwendung erfordert allerdings das Mitsenden. Oder wie soll der Server das sonst feststellen?

Zitat

Das eine erfolgreiche Korrelation zwischen Hash und Challenge Grundvoraussetzung für erfolgreiches Einloggen ist, ist unbestritten.

Der korrekte Hash ergibt sich unter der Einbeziehung des Challenge-Wertes. Zur Verifizierung muss dieser also auf beiden Seiten zum Zeitpunkt der Berechnung identisch bekannt sein. Die oben genannte Korrelation bezieht sich nur auf die Zuordnung eines Challenge-Wertes zu einem Client für den Fall, dass dieser vom Browser nicht mitgesendet wird. Sendet er ihn mit, ist eine solche Zuordnung nicht notwendig. Daher hängt es eben von der Implementierung auf der Serverseite ab.