phpbar.de logo

Mailinglisten-Archive

[php] Sicherheit MD5

[php] Sicherheit MD5

php_(at)_phpcenter.de php_(at)_phpcenter.de
Tue, 15 Oct 2002 00:37:54 +0200


Dietmar Möller <php_(at)_jubu.de> wrote ..

> zweite Frage: Ich will durch ein Formluar Besuchern die Möglichkeit
> geben sich anzumelden und dazu auch ein Passwort anzugeben.

Ohne SSL-Verschlüsselung kommst Du da kaum weiter. Es ist letztlich unerheblich, ob Du das Kennwort zunächst mit MD5 verschlüsselst. Der Man-in-the-middle kann es abfangen und damit in den Besitz des Schlüssels kommen.

Wenn Du die Sicherheit brauchst, dass eben genau das nicht passieren kann (jedenfalls zu 99%), dann bleibt Dir nur die https-Verbindung. alternativ wären propitäre Lösungen denkbar, die mit PGP arbeiten, allerdings steht der Aufwand ausserhalb jeder Diskussion.

Solltest Du eine Verschlüsselung über eine ungesicherte Verbindung aber zwingend benötigen, so sehe ich nur einen Lösungsansatz:

* Der Server generiert eine unique-id
* Diese wird im Formular übertragen und ist genau einmal gültig
* JavaSkript erzeugt eine Verschlüsselung mit dem unique-schlüssel
* Der Server kann die Daten nur dann sehen, wenn der key stimmt
* Wurde der key einmal benutzt, ist er ungültig

Auch hier ist das Risiko des Man-in-the-middle. Die reine Übertagung vom Client zum Server ist dann sicher, solange nicht jemand genau das Formular abfangen konnte, welches die id für die Verschlüsselung übermittelt hat. Das gilt aber auch für eine SSL-Verbindung.

Hinrich


php::bar PHP Wiki   -   Listenarchive