Mailinglisten-Archive |
Hi Markus, > wie werden den Namen und Kennwort übertragen? Werden die vershlüsselt? > Auf der GSM-Strecke glaub schon, aber vom Funknetzbetreiber zu meinem > Web-Server ? Vom Funknetzbetreiber zum Webserver duerfte die Kommunikation sehr offen sein wenn die Daten per HTTP uebertragen werden. Es gibt aber noch einen zusaetzlichen Layer im WAP der fuer eine sichere Verbindung sorgen soll. Genaueres sollte in der Dokumentation zum Gateway stehen. Eigentlich sollte auch HTTPS gehen, oder? Ich selbst habe es noch nicht probiert, wird aber in den naechsten Wochen anstehen. >> [3] in der DB überprüfen, >> [4] PW ok => zu gesichertem Skript springen, nicht ok => index.wml >> [5] gesicherte Seite prüft Referer bevor es weiter geht PHPLIB verwenden und die SessionID brav per GET weiterreichen, alles andere ist hier wenig sinnvoll. Sessions und Cookies in WAP sind erst ab WAP 1.2 moeglich, deshalb muss die SessionID per GET weitergereicht werden. > kann man den Referer irgenwie täuschen ? Ja, zu Authentizierung deshalb nur bedingt geignet. >> [x] dran denken, dass Eingaben mit Handys sehr umständlich sind und >> Nutzern wenig Freude bereiten, also kurz fassen! Und damit die Sicherheit noch loechriger zu machen... > Jetzt stellt ich mir die Frage, ob das für sicherrheitskritische > Bereiche gerade noch vertretbar ist oder nicht. Oder man auf WAP1.2 > warten soll, darin soll es ja eine eigene im Protokoll verankerte > Authentifizierung geben. Was setzen denn die ganzen Banken bei Ihren Wap-Sites ein? Liebe Gruesse, Andreas -- andreas otto london (uk)
php::bar PHP Wiki - Listenarchive