- Ad -
php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
Sichere Übertragung von Parametern an Web-Service Sichere Übertragung von Parametern an Web-Service
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 

 

PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Post your PHP questions here!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 03-02-2011, 13:00
sf1985
 Registrierter Benutzer
Links : Onlinestatus : sf1985 ist offline
Registriert seit: Feb 2011
Beiträge: 3
sf1985 befindet sich auf einem aufstrebenden Ast
Standard Sichere Übertragung von Parametern an Web-Service
Hallo Forum,

ich verwende SOAPClient um in PHP einen Web-Service nutzen zu können:

Code:
$SOAPClient = createSOAPObject($wsdl);
$SOAPClient->getSomething(array("username" => $user_real, "password" => $password));
Übertragung läuft über https. Es sollte also sichergestellt sein, dass es kein Problem ist das Passwort im Klartext zu übertragen. Ich benötige es im Web-Service zur weiteren Anmeldung.

Nun möchte ich das ganze aber noch Client-Seitig zumindest so verschlüsseln, dass das Passwort beim Debugging oder bei einer SOAP-Exception nicht direkt im Klartext dasteht. Eine SOAP-Exception printet nämlich schön die ganzen Parameter des Web-Services im Browser aus.

Wäre es sinnvoll das einfach über eine symetrische Verschlüsslung zu lösen und ein User-Token zu generieren, dass dem Web-Service als Parameter einfach mit übergeben wird?

Code:
$SOAPClient->getSomething(array("username" => $user_real, "password" => $password, "token" => $not_really_secret, ));
Wie gesagt...der Benutzer kann natürlich dann auch bei der Exception das Token hernehmen und daraus die Parameter rekonstruieren.
Mir geht es aber nicht um die sichere Übertragung ansich (die ist gewährleistet), sondern um das Clientseitige "verstecken" des Passwortes.

Ich hoffe mein Anliegen ist soweit verständlich rübergekommen...! Wie würdet ihr sowas lösen?

Vielen Dank für jeden Vorschlag.


Grüße
Mit Zitat antworten
  #2 (permalink)  
Alt 12-02-2011, 11:35
sf1985
 Registrierter Benutzer
Links : Onlinestatus : sf1985 ist offline
Registriert seit: Feb 2011
Beiträge: 3
sf1985 befindet sich auf einem aufstrebenden Ast
Standard
Niemand eine Idee?? Krass...
Mit Zitat antworten
  #3 (permalink)  
Alt 12-02-2011, 11:53
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.550
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard
Hallo,

wenn ich es richtig verstehe, brauchst du nur einen Exception-Handler registrieren (set_exception_handler), der das Passwort (und ggf. andere sensible Informationen) einfach nicht mit anzeigt. So ein Exception-Handler macht sowieso Sinn, weil der normale User damit eh nichts anfangen kann.

Gruß,

Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #4 (permalink)  
Alt 13-02-2011, 00:36
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 2.328
h3ll befindet sich auf einem aufstrebenden Ast
Standard
Zitat:
Zitat von sf1985 Beitrag anzeigen
Eine SOAP-Exception printet nämlich schön die ganzen Parameter des Web-Services im Browser aus.
Exceptions bzw. Fehlermeldungen allgemein sollten nicht ausgegeben werden. Der Server ist offenbar falsch konfiguriert.
Mit Zitat antworten
  #5 (permalink)  
Alt 14-02-2011, 08:19
sf1985
 Registrierter Benutzer
Links : Onlinestatus : sf1985 ist offline
Registriert seit: Feb 2011
Beiträge: 3
sf1985 befindet sich auf einem aufstrebenden Ast
Standard
Gut, alles klar. Vielen Dank für die Hinweise! Ich habe jetzt einfach den catch Block rausgenommen.

Ist es im Prinzip kein Problem das Password über einen Web-Service so zu übermitteln?
Mit Zitat antworten
Antwort

Lesezeichen

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Übertragung auf Datenbank bettie PHP Developer Forum 12 28-04-2007 20:53
Übertragung Biffi PHP Developer Forum 8 10-06-2005 09:00
ZIP-Datei geht bei ftp-Übertragung kaputt Viktor M. PHP Developer Forum 3 23-05-2005 18:50
Formulardaten übertragung Riplexus PHP Developer Forum 4 27-06-2004 19:52
eingabe/übertragung/send mit SSL? a|landargin HTML, JavaScript, AJAX und CSS 12 13-02-2003 16:35

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an

PHP News

MariaDB 5.5 veröffentlicht
MariaDB 5.5 veröffentlichtDie freie MySQL-Alternative MariaDB wurde in der stabilen Version 5.5.23 veröffentlicht und soll einige Verbesserungen gegenüber Oracles Communityversion von MySQL mitbringen.

16.04.2012 | Berni
Deutsche Yii Framework Community
Deutsche Yii Framework CommunitySeit dem 19.03.2012 gibt es für die Yii PHP Framework Community ein deutsches Zuhause.

20.03.2012 | dhcomputer
 

Aktuelle PHP Scripte

Advanced Login ansehen Advanced Login

Login-System und Kundenverwaltung, die sich spielend leicht in bestehende Webseiten einbauen lässt und einen enormen Funktionsumfang bietet. Ihre eigene Webseite muss mit Advanced Login nicht umständlich an ein fertiges System angepasst werden.

25.05.2012 Madden | Kategorie: PHP/ Kundenverwaltung
BROM CMS/BelCal 3 ansehen BROM CMS/BelCal 3

Spezielles CMS für Betreiber von Ferienwohnungen. Komplette Seitenerstellung online, Verwaltung mehrerer Objekte, Reservierungssystem mit sofortigem Abgleich im Belegungskalender und vieles mehr bietet dieses Content Management System.

25.05.2012 belcal2 | Kategorie: PHP/ CMS
belbit LiveSupport Script ansehen belbit LiveSupport Script

Schnellen und unkomplizierten Support im LiveSupport-Chat anbieten. Ohne Datenbank und in wenigen Sekunden installiert.

24.05.2012 EichbaumMedia | Kategorie: PHP/ Chat
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 07:28 Uhr.

Kontakt - PHP-resource.de Die PHP Community - Archiv - Datenschutzerklärung - Nach oben