Code zur Verifizierung hinterlegen (solved) (Webframeworks, Sonstige Fragen zur Webprogrammierung mit Perl)

[thread]21704[/thread]

Code zur Verifizierung hinterlegen [solved]

Tags: perl5 Similar Threads

Readers: 5

Articles: hide open all | hide show old branches

+14 replies
rosti

2026-01-02 11:38

User since
2011-03-19
3809 articles
BenutzerIn

Damit hat jeder schonmal zu tun gehabt:

Zum Verifizieren (Identität, Passwortreset, Benutzerregistrierung...) kommt eine Mail mit einem Code der innerhalb einer kleinen Frist im Webformular einzugeben ist.

Zur Gegenprüfung muß dieser Code serverseitig hinterlegt sein, welche Möglichkeiten gibt es da?

mfg
https://www.rolfrost.de/

Forum zu Fragen unserer Zeit
- +12 replies
- GwenDragon
  
  2026-01-02 11:49
  
  User since
  2005-01-17
  14939 articles
  Admin1
  
  Ich würde das als Datenbank (Text, SQLite, MySQL) und das in einer Tabelle mit Ablaufzeitpunkt, Usernamen und als SHA256-Hash (wenn arg sicherheitsbedürftig) ablegen.
  
  Oder was willst du genau wissen? Suchst du nach einem fertigen Perl-Modul?
  Last edited: 2026-01-02 11:53:29 +0100 (CET)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +11 replies
  - rosti
    
    2026-01-02 12:03
    
    User since
    2011-03-19
    3809 articles
    BenutzerIn
    
    Also ich suche eher die Idee. Beispielsweise zum Erzeugen eines 6-stelligen Codes der eine Stunde gültig ist.
    
    Dafür eine dedizierte Tabelle in MySQL anzulegen erscheint mir sehr übertrieben aufwendig. Abgesehen davon daß da Datenleichen zurückbleiben könnten.
    https://www.rolfrost.de/
    
    Forum zu Fragen unserer Zeit
    - +10 replies
    - GwenDragon
      
      2026-01-02 12:11
      
      User since
      2005-01-17
      14939 articles
      Admin1
      
      Verzeichnis erzeugen, Code + Username dort eine Textdatei, nach freischalten Datei löschen oder spätestens mit einem Cronjob nach Erzeugungszeitpunkt + 60 Minuten löschen.
      Wenn kein Cronjob kannst du auch die alle in einem Verzeichnis gespeicherten Dateien mit Perls Dateiänderungszeit abfragen und löschen, sind ja keine Millionen von Usern bei dir ;-) .
      Last edited: 2026-01-02 12:15:11 +0100 (CET)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +9 replies
      - rosti
        
        2026-01-02 12:20
        
        User since
        2011-03-19
        3809 articles
        BenutzerIn
        
        Also, wenn ich von localtime die Sekunden und Minuten rausnehme und den Rest vercrypte habe ich einen Code der in der nächsten Stunde abläuft.
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8
        
        # Erzeugt einen 6-stelligen Code der eine Stunde gültig ist sub codegen{ my $self = shift; my $in = shift; # 6 stelliger Code zum Gegenprüfen my ($s, $m, @date) = localtime; my $code = substr(sha256_hex("@date"),0,6); return $in ? $in eq $code : $code; }
        
        Das ist natürlich doof, wenn die Mail eine Minute vor Ablauf einer vollen Stunde rausgeht. Dann ist der Code gleich wieder ungültig.
        
        Gibt es eine Möglichkeit, aus dem UNIX_TIMESTAMP direkt die Minuten und Sekunden rauszunehmen? Denn wenn ich Sec, Min und Stunde rausnehme ist der Code einen ganzen Tag lang gültig; das erscheint mir zu lange.
        Last edited: 2026-01-02 12:28:27 +0100 (CET)
        https://www.rolfrost.de/
        
        Forum zu Fragen unserer Zeit
        
        +8 replies
        
        GwenDragon
        
        2026-01-02 12:33
        
        User since
        2005-01-17
        14939 articles
        Admin1
        
        Quote
        Das ist natürlich doof, wenn die Mail eine Minute vor Ablauf einer vollen Stunde rausgeht. Dann ist der Code gleich wieder ungültig.
        Dann schlag halt für das Prüfen 5*60 Sekunden drauf, um mehr Luft zu haben.
        Das Problem, dass sich Ablaufzeitpunkt und verzögertes Empfangen der Mail negativ überschneiden können, hast du doch immer.
        Last edited: 2026-01-02 12:34:18 +0100 (CET)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +7 replies
        
        rosti
        
        2026-01-02 12:43
        
        User since
        2011-03-19
        3809 articles
        BenutzerIn
        
        Quote
        Dann schlag halt für das Prüfen 5*60 Sekunden drauf, um mehr Luft zu haben.
        
        Ja, aber das verschiebt ja nur den Stundenwechsel auf einen anderen Zeitpunkt.
        https://www.rolfrost.de/
        
        Forum zu Fragen unserer Zeit
        
        +6 replies
        
        GwenDragon
        
        2026-01-02 12:49
        
        User since
        2005-01-17
        14939 articles
        Admin1
        
        Dann müssen sich die Leute eben einen neuen Code senden lassen, wenn sie zu spät ihre Registrierung abschließen.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +5 replies
        
        rosti
        
        2026-01-02 12:55
        
        User since
        2011-03-19
        3809 articles
        BenutzerIn
        
        Quote
        Dann müssen sich die Leute eben einen neuen Code senden lassen, wenn sie zu spät ihre Registrierung abschließen.
        
        Ja schon. Aber das ist nicht die Frage. Denn wenn der Code kurz vor einem Stundenwechsel angefordert wurde, kann der Benutzer ja nichts dafür daß der Code abgelaufen ist.
        
        Also: Die Anforderung ist, einen Code zu erstellen der eine Stunde gültig ist, egal ob der Code kurz vor einem Stundenwechsel oder kurz danach erstellt wurde.
        
        Das heißt, daß das Zeitfenster nicht verschoben sondern vergößert werden muss. Und das muss auch nicht genau eine Stunde sein.
        
        .
        Last edited: 2026-01-02 13:06:56 +0100 (CET)
        https://www.rolfrost.de/
        
        Forum zu Fragen unserer Zeit
        
        +3 replies
        
        GwenDragon
        
        2026-01-02 13:26
        
        User since
        2005-01-17
        14939 articles
        Admin1
        
        Ich würde 90 Minuten nehmen, das bietet genug Rahmen. Du kannst ja im Mail darauf hinweisen, dass der Code um so-und-soviel Uhr abläuft, vielleicht bringt das die User dazu, sich schneller anzumelden.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        rosti
        
        2026-01-02 13:43
        
        User since
        2011-03-19
        3809 articles
        BenutzerIn
        
        Die Frage ist nur: Wie ;)
        https://www.rolfrost.de/
        
        Forum zu Fragen unserer Zeit
        
        rosti
        
        2026-01-02 15:17
        
        User since
        2011-03-19
        3809 articles
        BenutzerIn
        
        Also so wie's aussieht bleibt mir nichts weiter übrig, als den Zeitstempel der bei der Erzeugung des Code verwendet wurde, in hidden-Fields über die Eingabeformulare mitzuschleifen.
        
        Zum Testen:
        https://rolfrost.de/verify.html
        
        So wird der Code stets mit demselben Zeitstempel generiert.
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9 10
        
        # Erzeugt einen 6-stelligen Code # Prüft auf Gültigkeit sub codegen{ my $self = shift; my $time = shift; # Zeitstempel my $in = shift; # 6 stelliger Code zum Gegenprüfen my @date = localtime($time); my $code = substr(sha256_hex("@date"),0,6); return $in ? $in eq $code : $code; }
        
        .
        Last edited: 2026-01-02 15:32:48 +0100 (CET)
        https://www.rolfrost.de/
        
        Forum zu Fragen unserer Zeit
        
        rosti
        
        2026-01-03 09:03
        
        User since
        2011-03-19
        3809 articles
        BenutzerIn
        
        Die Lösung ist, 2 Codes zu erzeugen. Einmal für die aktuelle Stunde und einmal für die Stunde davor. Dann hat der Code 2 Stunden Gültigkeit und wenn zwischendurch die Stunde wechselt ist das ohne Belang.
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9 10 11
        
        # Erzeugt einen 6-stelligen Code # der 2 Stunden gültig ist sub codegen{ my $self = shift; my $in = shift; # 6 stelliger Code zum Gegenprüfen my ($s,$m, @date) = localtime(time); my ($s2,$m2, @date2) = localtime(time - 3600); my $code = substr(sha256_hex("@date"),0,6); my $code2 = substr(sha256_hex("@date2"),0,6); return $in ? ($in eq $code) || ($in eq $code2) : $code; }
        
        https://www.rolfrost.de/
        
        Forum zu Fragen unserer Zeit
- rosti
  
  2026-01-03 12:46
  
  User since
  2011-03-19
  3809 articles
  BenutzerIn
  
  Fazit: Unter Einbeziehung der Systemzeit, der eMail-Addr. und ein paar $ENV-Variablen die sich nur langfristig ändern, ist es möglich einen Verification-Code zu erstellen der nicht extra am Server hinterlegt werden muss und nur eine bestimmte Zeit gültig ist.
  
  Bspw. dadurch daß time/7200 geteilt wird was die Anzahl der Doppelstunden seit 1.1.1970 ergibt. Und auch das kann man noch variieren: time/7233.
  
  Den ganzen Algorithmus gilt es natürlich geheim zu halten. So wie jedes Passwort.
  
  Edit: Am Besten ist es time ganz einfach in Zeiteinheiten zu teilen. So gibt ein int(time/971) Zeiteinheiten von 971 Sekunden. Das ist genau die Länge der Gültigkeitsdauer für einen damit erzeugten Verification-Code. Und selbst wenn ein Bot erkennt, daß time eine Rolle spielt oder gar diesen Algorithmus kennt, so kann er den Code nur reproduzieren wenn der Teiler bekannt ist. Also ob time/973 oder time/985 geteilt wurde und da haben wir einen weiten Spielraum.
  
  https://rolfrost.de/verify.html ist die Lösung.
  
  T close ;)
  Last edited: 2026-01-04 10:24:28 +0100 (CET)
  https://www.rolfrost.de/
  
  Forum zu Fragen unserer Zeit

View all threads created 2026-01-02 11:38.