Sicherheitsfrage

E

exciter

Mitglied
Hallo Compadres, ich habe ein wichtiges Anliegen: da ich in meinem neuesten „Projekt“ mit zum Teil sensiblen Daten von Kunden arbeiten muss, mach ich mir verstärkt Gedanken um die Sicherheit. Passwörter der Kunden liegen als md5-Hash in einer DB. Wird das Login-Formular aber abgeschickt, wird das Passwort erst serverseitig in einen md5-Hash umgewandelt, das heisst das Passwort wird unverschlüsselt übertragen. Hab schon eine Möglichkeit mit Javascript bedacht (Passwort wird bereits clientseitig in md5-Hash umgewandelt und dann erst verschickt. Allerdings kann ein Sniffer dieses „verschlüsselte“ Passwort abfangen und benutzen, weil es ja mit dem in der DB verglichen wird! Oder täusche ich mich da?). SSL fällt flach. Am liebsten wäre mir eine Lösung mit Javascript damit die Verschlüsselung bereits clientseitig abläuft, nur weiß ich nicht wie...

Für Tipps und Anregungen bin ich sehr dankbar.
 
Hi,
schau mal da
webPM
Die Verschlüsseln das PW mit einem JavaScript. Ich habs mir nich nicht genau angeschaut, aber kannste ja mal machen. Ansonsten mach dich doch über ne https Verbindung mit SSL schlau.

Gruß
TiM
 
Zuletzt bearbeitet:
Eine "Verschlüsselung" auf dem Client ist absolut sinnlos, solange das PW dann auch so übertragen wird, wie es der Server erwartet. Im Klartext: Wenn du das Passwort auf dem Client in einen Md5 Hash umwandelst und im Klartext schickst hilft dir das genauso wenig wie das PW gleich im Klartext zu schicken.
Ohne SSL hat man heute praktisch keine Chance eine sichere Verbindung aufzubauen.
 
Da ich mich zur Zeit auch mit htaccess beschäftige noch folgendes: ist ein Login über htaccess sicherer als ein "reiner" PHP-Login? Bei htaccess werden USER und PASSWORT doch auch unverschlüsselt übertragen und können leicht abgefangen werden, oder läuft das anders (oder sicherer)?

exciter.
 
Nein ist nicht sicherer. Aber es funktioniert auch ohne PHP ;). .htaccess Zugriffsschutz sollte jede Apacheinstallation beherrschen.
 
Eigentlich ist es ja nen Quark! :)

Benutze Javascript zum md5 scherschlüsseln
Übermittel dann das Passwort
sense
Wobei du nicht mal das machen müsstest da reicht das Pass ohne Verschlüsselung auch!

Wenns nur an der übertragung versagen soll ^^ dann nutz ssl.
Und wenn du das nicht machst dann biste selbst schuld
Sicherer gehts nicht!

So wichtig wird dein Projekt schon nicht sein das du sooo sicher laufen musst ^^.
Sicheres system like Bank oder Aktien-> SSL.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück