phpbar.de logo

Mailinglisten-Archive

[php] =?ISO-8859-1?B?UmVbMl06IFtwaHBdIFJFOiBbcGhwXSBXQVAgbWl0IFBhc3N3b3J0IHNj?= =?ISO-8859-1?B?aPx0emVuID8gV0lFPw==?= =?ISO-8859-1?B?aPx0emVuID8gV0lFPw==?=

[php] =?ISO-8859-1?B?UmVbMl06IFtwaHBdIFJFOiBbcGhwXSBXQVAgbWl0IFBhc3N3b3J0IHNj?= =?ISO-8859-1?B?aPx0emVuID8gV0lFPw==?= =?ISO-8859-1?B?aPx0emVuID8gV0lFPw==?=

andreas otto a-otto_(at)_web.de
Tue, 12 Dec 2000 12:36:00 +0000


Hi Markus,

> wie werden den Namen und Kennwort übertragen? Werden die vershlüsselt?
> Auf der GSM-Strecke glaub schon, aber vom Funknetzbetreiber zu meinem
> Web-Server ?

Vom Funknetzbetreiber zum Webserver duerfte die Kommunikation sehr
offen sein wenn die Daten per HTTP uebertragen werden.

Es gibt aber noch einen zusaetzlichen Layer im WAP der fuer eine
sichere Verbindung sorgen soll. Genaueres sollte in der Dokumentation
zum Gateway stehen. Eigentlich sollte auch HTTPS gehen, oder?

Ich selbst habe es noch nicht probiert, wird aber in den naechsten
Wochen anstehen.

>> [3] in der DB überprüfen,
>> [4] PW ok => zu gesichertem Skript springen, nicht ok => index.wml
>> [5] gesicherte Seite prüft Referer bevor es weiter geht

PHPLIB verwenden und die SessionID brav per GET weiterreichen, alles andere
ist hier wenig sinnvoll.

Sessions und Cookies in WAP sind erst ab WAP 1.2 moeglich, deshalb
muss die SessionID per GET weitergereicht werden.

> kann man den Referer irgenwie täuschen ?

Ja, zu Authentizierung deshalb nur bedingt geignet.

>> [x] dran denken, dass Eingaben mit Handys sehr umständlich sind und
>>     Nutzern wenig Freude bereiten, also kurz fassen!

Und damit die Sicherheit noch loechriger zu machen...

> Jetzt stellt ich mir die Frage, ob das für sicherrheitskritische
> Bereiche gerade noch vertretbar ist oder nicht. Oder man auf WAP1.2
> warten soll, darin soll es ja eine eigene im Protokoll verankerte
> Authentifizierung geben.

Was setzen denn die ganzen Banken bei Ihren Wap-Sites ein?

Liebe Gruesse,
Andreas




-- 
andreas otto
london (uk)




php::bar PHP Wiki   -   Listenarchive